这是有问题的PHP函数:
//Get data associated with $criteria from db
function getUserData($criteria, $value) {
//obtain user data from db based on $criteria=$value
global $pdo;
//echo $criteria . " " . $value;
try {
$sql = 'SELECT id, first, last, email, userid FROM users WHERE :criteria= :value';
//var_dump($sql);
$st = $pdo->prepare($sql);
$st->bindValue(':criteria', $criteria);
$st->bindValue(':value', $value);
$st->execute();
}
catch (PDOException $ex) {
$error = "Failed to obtain user data.";
$errorDetails = $ex->getMessage();
include 'error.html.php';
exit();
}
$row = $st->fetch();
//var_dump($row);
if ($row)
{
$userdata = array();
$userdata['id'] = $row['id'];
$userdata['first'] = $row['first'];
$userdata['last'] = $row['last'];
$userdata['email'] = $row['email'];
$userdata['userid'] = $row['userid'];
return $userdata;
}
return FALSE;
}
我使用此函数返回与其中特定列关联的整行数据。
当它在当前状态下使用时,通过类似getUserData("email", "John_Stewart_2013")的调用,它返回false,表示空结果,而同样的查询在MySQL CLI中运行良好。
另一方面,如果我将查询字符串$ sql替换为:
$sql = "SELECT id, first, last, email, userid FROM users WHERE $criteria='$value'";
注释掉bindValue调用,PHP中的每一个都运行良好,查询会根据需要返回。
但问题是,这些函数参数是用户提交的表单数据,这意味着该解决方案容易受到SQL注入攻击。
第一个查询表格中有什么问题?
答案 0 :(得分:2)
您不能将bindValue用于我担心的列名。
如果你考虑准备好的陈述是什么,这应该变得更加明显。基本上,当您使用数据库服务器准备语句时,它会事先为查询创建执行计划,而不是在运行查询时生成它。这使得它不仅更快,而且更安全,因为它知道它的去向,以及它将使用的数据类型以及将要输入的数据类型。
如果列/表名以任何方式可绑定,它将无法生成此执行计划,使整个预处理语句的想法有些多余。
最好的方法是使用这样的混合查询:
$sql = "SELECT id, first, last, email, userid FROM users WHERE $criteria = :value";
我希望$criteria列不是来自客户端的完全免费形式。如果是,您最好将其限制为一组特定的允许选项。一种简单的方法是构建一个允许列数组,并检查它是否对in_array有效,如下所示:
$allowed_columns = array('email', 'telephone', 'somethingelse');
if (!in_array($criteria, $allowed_columns))
{
$error = "The column name passed was not allowed.";
$errorDetails = $ex->getMessage();
include 'error.html.php';
exit;
}