Czy dodawanie komentarzy w phpns jest bezpieczne?

[colosus 0]

Korzystam na stronie z systemu newsów phpns:
http://sourceforge.net/projects/phpns/

Do samych newsów system spisuje się dobrze, ale chciałbym włączyć komentarze pod newsami i nie jestem pewny co do bezpieczeństwa. Phpns nie wykorzystuje bowiem PDO tylko zwykły MySQL do operacji na bazach danych.

Czy Waszym zdaniem phpns jest na tyle bezpieczny, żeby np. ktoś nie skasował mi któregoś dnia całej bazy danych za pomocą SQL Injection? A może lepszym wyjściem będzie wykorzystanie zewnętrznego systemu komentarzy np. Disqus (który pewnie korzysta z PDO)?

[Suspect121 53]

Nieprawidłowo interpretujesz problem ze SQL Injection. To czy dany skrypt jest bezpieczny nie zależy od tego czy używa PDO czy zwykłego MySQL a zależy od tego w jaki sposób konstruowane są zapytania i czy wszelkie zmienne które mogą być modyfikowane przez użytkownika są odpowiednio filtrowane / sprawdzane pod kątem prawidłowości przesyłanych danych. Należy więc prześledzić kod nie sugerując się wcale tym, że używa zwykłego MySQL.

[Gość Kamikadze]

Powiem ci tak. U mnie w aplikacjach jedna linijka to zapytanie sql, ale samo filtrowanie czy sprawdzanie to już od 5 do nawet 10 linijek zależnie od rodzaju zmiennej

[Gość Spoofy]

Dla mnie skrypt który korzysta z modułów PHP które są "deprecated" i nie występują już w PHP 7, do tego ostatni raz aktualizowany w 2013stym roku i porzucony od tego czasu - to poważne niebezpieczeństwo...

 

Oczywiście może korelacja z db jest dobrze napisana z wykorzystaniem mysql, ale warto tak jak @Suspect121 mówił prześledzić cały kod i samemu wywnioskować jak to coś działa i gdzie może być błąd.

[wlodziu 49]

Najlepiej jakbyś wrzucił tutaj linie kodu odpowiedzialne za dodawanie rekordów.