0

tengo una duda, quisiera conocer la diferencia entre las consultas preparadas y establecer el atributo attr_direct_query al objeto PDO, ya que revisando un codigo veo que al poner direct_query no es necesario mandar a llamar al metodo ->prepare() para evitar la inyeccion del codigo es así como funciona? o es mejor mandar a llamar al método prepare para evitar esta inyeccion de codigo en consultas? Este es el codigo

$this->_Connection->setAttribute(constant('PDO::SQLSRV_ATTR_DIRECT_QUERY'), true);
Marco Medina
  • 343
  • 1
  • 8

1 Answers1

0

Para responder a tu pregunta conviene tener claro que PDO tiene dos métodos para las consultas:

1. prepare()

El cual deberías usar siempre que se requiera una consulta preparada.

Dos son los contextos en los que una consulta preparada debería ser obligatoria.

El primero y más importante es cuando la seguridad está en riesgo. Supongamos una consulta de este tipo: SELECT * FROM laTabla WHERE laColumna=elValor donde elValor es suministrado por el usuario, sin importar la fuente (formulario, archivo, otra fuente de datos que depende del usuario...). Esta consulta debe ser preparada, porque elValor depende del usuario y éste puede manipularlo para inyectar lo que sea en el sistema. Y es que la inyección SQL no implica solamente que se puedan borrar, modificar, obtener datos sensibles que están en la base de datos. En algunos contextos se puede usar el SGBD para modificar archivos del sistema, borrar archivos, obtener archivos, o insertar archivos con código malicioso... Sí, sí, te pueden instalar un virus que tomaría el control de todo el sistema entrando por el SGBD.

Es por eso que elValor debe ser neutralizado, preparando la consulta y pasando elValor aparte para que PDO verifique si no hay ningún intento de inyección SQL.

El segundo es cuando se requiere optimizar el código. Y es que prepare() no tiene solamente la ventaja de blindar las consultas contra ataques de Inyección SQL. Las consultas preparadas también son más rápidas. Por lo que en un contexto de consulta repetitiva conviene usar prepare() aunque la consulta no contenga datos suministrados por el usuario, en atención a la optimización del código.

Una consulta preparada, por decirlo de alguna manera, es una ruta trazada, un camino ya conocido por el SGBD. La primera vez que la consulta es preparada el SGBD traza el plan de ejecución de la consulta y cuando la misma se ejecuta todas las veces siguientes, todo va más rápido, porque el SGBD ya conoce el camino :) . Por poner un ejemplo, cuando viajas a un lugar desconocido tardas más, puedes equivocarte en las indicaciones del GPS, tomar una salida de autopista equivocada que te costará 50 km extra de ruta o perderte en un camino estrecho etc y todo eso redunda en desgaste físico, del vehículo, pérdida de tiempo, más consumo de combustible, más contaminación, etc. Si conoces el camino y no dependes del GPS llegas más rápido y si alguna vía está cortada conoces vías alternativas para llegar al destino. Eso es lo que significa también prepare(): conocer ya el camino.

Por tanto, incluso en una consulta como esta: SELECT * FROM laTabla en la que como ves no hay ningún dato suministrado por el usuario o tomado de una fuente externa y por tanto ningún riesgo de inyección. Si esta consulta debe ser ejecutada varias veces, conviene usar prepare().

2. query()

A diferencia de prepare(), el método query() ejecutaría la consulta directamente, sin preparar nada y sin verificar cualquier intento de inyección. Ya he explicado en el punto anterior el grave riesgo que esto supondría.

Para ser breve, query() debería usarse únicamente en aquellos contextos donde no intervengan datos externos en la consulta y donde ese consulta vaya a ejecutarse una sola vez.


Muy bien explicado colega, pero yo preguntaba también por PDO::SQLSRV_ATTR_DIRECT_QUERY, ¿qué me dices de eso?

En primer lugar PDO::SQLSRV_ATTR_DIRECT_QUERY es un atributo que sirve para indicar a PDO si la siguente consulta debe ejecutarse de manera directa. Este atributo tiene el valor FALSE por defecto, como bien indica la documentación:

De forma predeterminada, el valor de PDO::SQLSRV_ATTR_DIRECT_QUERY es False (se usa la ejecución de la instrucción preparada).

Ese atributo no tiene nada que ver (directamente) con la seguridad (en tu pregunta parece haber confusión al respecto). La seguridad queda garantizada cuando usas consultas preparadas realmente. O sea, cuando pones marcadores en la consulta y los datos externos los pasas con los métodos de que dispone PDO para ello: bindParam() o bindValue(). Es decir, el hecho de usar prepare() pero pasando el dato (los datos) externos en la misma cadena de la consulta no es una consulta realmente preparada. Una consulta preparada pone marcadores donde van los datos, los cuales se pasan aparte, en los métodos destinados para ello.

Pero, al leer el apartado Ejecución de la instrucción preparada o directa en el controlador PDO_SQLSRV parece quedar claro que en su forma de concebir el controlador PDO, Microsoft ha querido hacer depender las cosas de este atributo, por lo que deberías estar apagándolo (FALSE) o encendiéndolo (TRUE) según el caso.

Para no liarte demasiado, el núcleo del asunto está aquí:

  • el atributo PDO::SQLSRV_ATTR_DIRECT_QUERY debe ser TRUE únicamente cuando usas query() o si usas tablas temporales, según lo dicho en la documentación (enlace de más arriba).

  • y debe ser FALSE cuando uses prepare().

En tu código deberás controlar, según el contexto. Imaginemos por ejemplo un contexto donde vas a usar primero query() y luego prepare(). Deberás hacer esto:

$pdo = new PDO('sqlsrv:Server=(local)', '', '');  
$pdo->setAttribute(constant('PDO::SQLSRV_ATTR_DIRECT_QUERY'), true);  
$sqlQuery="SELECT * FROM laTabla";
#Usar datos obtenidos en $sqlQuery ...

#La siguiente consulta será preparada, apagamos el atributo
$pdo->setAttribute(constant('PDO::SQLSRV_ATTR_DIRECT_QUERY'), false);  
$sqlPrepare="SELECT * FROM laTabla WHERE laColumna=:elValor";
#Preparar y ejecutar $sqlPrepare, etc

Y si fuera al revés:

$pdo = new PDO('sqlsrv:Server=(local)', '', '');  
#La primera consulta será preparada, apagamos el atributo
$pdo->setAttribute(constant('PDO::SQLSRV_ATTR_DIRECT_QUERY'), false);  
$sqlPrepare="SELECT * FROM laTabla WHERE laColumna=:elValor";
#Preparar y ejecutar $sqlPrepare, etc

#Luego viene una consulta no preparara, encendemos el atributo
$pdo->setAttribute(constant('PDO::SQLSRV_ATTR_DIRECT_QUERY'), true);  
$sqlQuery="SELECT * FROM laTabla";
#Usar datos obtenidos en $sqlQuery ...

Es importante tener esto en cuenta también en un contexto de conexiones concurrentes. Para evitar confusión o problemas, te recomendaría que apliques lo indicado en los dos bloques de código anteriores: apagar el atributo cuando vayas a usar prepare() y encenderlo cuando vayas a usar query(). Sin conocer la forma en que Microsoft programó el controlador no podría decirte por qué han decidido que esto sea así... pero es Microsoft ... ¿por qué hacer las cosas simples cuando las puedes hacer complicadas? ¿Acaso el controlador no puede él mismo apagar encender este atributo según el método que se use?

A. Cedano
  • 86,578
  • 19
  • 122
  • 221