mysql — безопасность php, введите пароль к строке

Я не верю, что приведение пароля к строке в любом случае повлияет на общую безопасность вашего приложения. В этом смысле я думаю, что вопрос немного ошибочный.

В качестве примера того, почему приведение к строке на самом деле не помогает или не причиняет вам вреда, рассмотрим один из наиболее распространенных векторов атаки на базу данных: SQL-инъекция. Установите на веб-странице форму, которая принимает пользовательский ввод, отправляет ее в сценарий на стороне сервера, который создает запросы с этим пользовательским вводом, и вы внезапно становитесь уязвимыми. Поскольку все SQL-запросы являются строками, здесь не имеет большого значения, приведете ли вы к строке или нет.

Но что, если вы знаете, что вам нужна строка из формы (любой формы), и кто-то печатает целое число? Попробуйте это ..

Сделайте страницу с таким содержанием:

<!DOCTYPE html>
<html>
<head><title></title></head>
<body>
<form method="POST" action="/test.php">
<input type="text" name="testInput">
<input type="submit">
</form>
</body>
</html>

В test.phpпросто выкинь $_POST:

<?php
var_dump($_POST);

Затем введите целое число в поле формы и посмотрите, какой тип PHP выделяет для него. Это вывод, который я получаю:

array (size=1)
'testInput' => string '5.25' (length=4)

Поскольку на самом деле невозможно создать POST, содержащий объекты PHP (сам JSON является не чем иным, как строкой, пока он не будет декодирован), мы действительно беспокоимся только о собственных типах данных. Как вы можете видеть выше, даже не строковый ввод будет преобразован в строковые данные, когда PHP его получит.

Дело не столько в том, откуда поступают данные, будь то из формы или скрипта, а в том, как PHP получает их и делает их доступными для вас. Я могу создать ту же «форму» в виде скрипта, который выполняет запрос cURL и получает тот же результат.