我正在构建一个用户可以搜索数据库的脚本。我的理解是PDO不允许你为LIKE操作数设置一个参数。所以我有这个代码来弥补它
$sQuery = "SELECT * FROM table WHERE column LIKE '%" . $this->sQuery . "%' LIMIT 30";
$Statement = $this->Database->prepare($sQuery);
$Statement->execute();
我怀疑这对SQL注入是否安全。有没有办法让它安全?
答案 0 :(得分:2)
你是对的,将任何值插入到SQL字符串中都会产生SQL注入漏洞的风险。最好在prepare()时使用SQL查询参数占位符,然后在execute()时将值作为参数提供。
$pattern = "%" . $this->sQuery . "%";
$sQuery = "SELECT * FROM table WHERE column LIKE ? LIMIT 30";
$Statement = $this->Database->prepare($sQuery);
$Statement->execute(array($pattern));
将其作为伪代码,因为我无法从您的示例中了解您正在使用的MySQL扩展。我假设PDO,它允许将参数作为数组参数发送到execute()。
有些人使用PDOStatement::bindParam(),但这样做没有任何好处。也许在其他一些RDBMS品牌中,PDO::PARAM_STR很重要,但在MySQL驱动程序中,参数类型会被忽略。
PS:除了您询问的安全问题之外,您会发现搜索基于通配符的模式,就像您在数据变得越来越大时表现不佳。请参阅我的演示文稿Full Text Search Throwdown。
答案 1 :(得分:0)
这应该有效:
$sQuery = "SELECT * FROM table WHERE column LIKE :query LIMIT 30";
$Statement = $this->Database->prepare($sQuery);
$Statement->execute(array(':query' => '%' . $this->sQuery . '%'));