Актуальность SQL иньекций

Здравствуйте. Мне как кодеру интересно узнать, разве с внедрением PDO sql иньекции не ушли в небытье ? Ведь модифицировать подготовленный запрос нереально... Или технологии по ту сторону баррикад сделали шаг вперед ?

 

Ну дк. не все же юзают pdo\mysqli и прочие билиотеки с поддержкой поготовленных выражений, и вообще любой програмист знает что подготовленные параметры для дураков... фильтрация рег-ками намного надежней! PDO::query вполне себе разрешает любой запрос выполнить.
И выстрелить себе в ногу, тем более куча сайтов по прежнему юзают mysql_, не фильтруют параметры... Ну и не на php же только они пишутся.

 

Ну, видимо, не ушли, т.к. это почти единственный способ взлома (всякие пхп-инъекции встречаются еще реже, а XSS требуют времени и некоторого СИ).

 

Да уходят уже в прошлое.

 

Например, такого вида конструкцию, которая принимает параметры без всяких фильтраций :

PHP:

$stmt->prepare('SELECT * FROM users WHERE id=:id')->execute(array(':id'=>$_GET['id']));

реально модифицировать? Если да, буду признателен за любые ссылки на информацию либо ваши мысли по этому поводу.

 

Сейчас даже браузеры кавычки фильтруют сами в адресных строках..что бы не баловались.
ps:я бы фильтры сделал при таком запросе, мне не внушает доверия)

 

Да уходят и сейчас скули это далеко не основной способ взлома и кто так считает остался в xx веке

 

Интересно выслушать ваше мнение по поводу актуальных на сегодняшний день методов. Уязвимости типа XSS/include я отметаю сразу, при условии что портал-жертва разрабатывался людьми умнее палки. Брут тем более в прошлом веке. И что же остается ? По поводу PDO ничего конкретного о его уязвимостях мне так и не удалось найти, видимо это железный заслон.