Joomla-DB-API: Frage zu Prepared Statement versus plumpem Typecasting

Re:Later · 6. Mai 2019

In einem GiHub-Pull-Request wurde darum gebeten, dass in einer Datenbankabfrage die Zeile

Code

$query->where($db->quoteName('usergroupmap.group_id') . ' = ' . (int) $groupIds);

in ein Prepared Statement umgeschrieben werden soll, also statt Typumwandlung "(int) $groupIds" so:

Code

$query->where($db->quoteName('usergroupmap.group_id') . ' = :group_id')
    ->bind(':group_id', $groupIds, ParameterType::INTEGER);

Prepared Statements sind mir bekannt, ich verstehe in diesem Fall nur nicht, was die Vorteile in diesem Joomla-Umfeld sind. Einfach "Best practice" oder steckt mehr dahinter?

SniperSister Da du um die Änderung gebeten hast, vielleicht kannst mir einen kurzen Tipp geben, warum. Danke.

JohannesK · 6. Mai 2019

Meine Vermutung: Das Casten kann im ersten Fall zu einer falschen Datenbankabfrage führen.

Wenn du beispielhaft einen String 'ab123' als int castes kommt dort einfach '0' raus. Das würde in der ersten Abfrage zu einer Bedingung where group_id = 0 führen. Bei der zweiten Variante würde ein Fehler geworfen, weil der Parameter nicht den richtigen Datentypen hat.

Das wäre so meine Idee! Habe ich mit dem Code mal eben getestet:

PHP

<?php
$testA = 'ab123';
$testB = (int)$testA;
var_dump($testB);
?>

Ergebnis ist so:

int(0)

Das würde meine Vermutung untermauern...

Re:Later · 6. Mai 2019

Leider doch nicht.

Wenn ich die Codes vergleiche, verhalten die sich von der Ausgabe komplett identisch, wenn ich die 3 $id nacheinander durchspiele:

(quoteName etc. habe ich absichtlich weggelassen)

Code

use Joomla\CMS\Factory;
use Joomla\Database\ParameterType;

$id = '232';     // Ergibt Ausgabe Username mit id 232, da int(232)
$id = '232abc';  // Ergibt Ausgabe Username mit id 232, da int(232)
$id = 'abc232';  // Ergibt Ausgabe Username: Leerer String, da int(0). Keine Warnung

#### Typecasting

$db = Factory::getDbo();

$query = $db->getQuery(true)
->select('username')
->from('#__users')
->where('id = ' . (int) $id);

$db->setQuery($query);

echo $db->loadResult();

echo "\n<br>\n<br>";

#### Prepared

$db2 = Factory::getDbo();

$query = $db2->getQuery(true)
->select('username')
->from('#__users')
->where('id = :user_id')
->bind(':user_id', $id, ParameterType::INTEGER);

$db2->setQuery($query);

echo $db2->loadResult();

echo "\n<br>\n<br>";

exit;

Alles anzeigen

SniperSister · 6. Mai 2019

Wir wollen in Joomla 4 nach und nach alle "klassischen" Abfragen, die mit Quoting und Casting arbeiten, in Prepared Statements umbauen. Der Hintergrund ist: Prepared Statements machen SQL Injection Angriffe quasi unmöglich, daher ist es die überlegene Variante für Queries.