我目前正在构建一个查询,其中字段/列和值部分可能都包含用户输入的数据。
问题在于逃避字段名称。 我正在使用预准备语句以便正确地转义并引用值,但是在转义字段名时我遇到了麻烦。
任何人都知道在将字段名传递给PDO :: prepare之前将字段名正确插入到查询中的最佳方法是什么?
答案 0 :(得分:28)
ANSI标准的分隔标识符方式是:
SELECT "field1" ...
如果名称中有“,请加倍:
SELECT "some""thing" ...
不幸的是,这在默认设置的MySQL中不起作用,因为MySQL更喜欢认为双引号是字符串文字的单引号的替代方法。在这种情况下,你必须使用反引号(如Björn所述)和反斜杠转义。
要正确执行反斜杠转义, 需要mysql_real_escape_string,因为它依赖于字符集。但重点是没有意义,因为 mysql_real_escape_string和addslashes都没有逃避反引号字符。如果你可以确定列名中永远不会有非ASCII字符,只需手动反斜杠即可逃避`和\字符。
无论哪种方式,这都与其他数据库不兼容。您可以通过设置配置选项ANSI_QUOTES来告诉MySQL允许ANSI语法。同样,默认情况下,SQL Server也会在双引号上窒息;它使用另一种语法,即方括号。同样,您可以使用'quoted_identifier'选项将其配置为支持ANSI语法。
总结:如果您只需要MySQL兼容性:
一个。使用反引号并禁止名称中的反引号,反斜杠和空字符,因为转义它们是不可靠的
如果您需要跨DBMS兼容性,请:
湾使用双引号并要求MySQL / SQL-Server用户适当地更改配置。禁止在名称中使用双引号字符(因为Oracle无法处理它们甚至转义)。或者,
℃。有一个MySQL vs SQL Server vs Others的设置,并根据它生成反引号,方括号或双引号语法。禁止使用双引号和反斜杠/反引号/ nul。
这是你希望数据访问层有功能的东西,但是PDO没有。
摘要摘要:任意列名都是一个问题,如果可以提供帮助,最好避免使用。
摘要摘要摘要:gnnnnnnnnnnnn。
答案 1 :(得分:13)
正确答案是
str_replace("`", "``", $fieldname)
错:
mysql> SELECT `col\"umn` FROM user; ERROR 1054 (42S22): Unknown column 'col\"umn' in 'field list'
右:
mysql> SELECT `kid``s` FROM user; ERROR 1054 (42S22): Unknown column 'kid`s' in 'field list' mysql> SELECT ```column``name``` FROM user; ERROR 1054 (42S22): Unknown column '`column`name`' in 'field list'
(请注意,在上一个示例中,列名称中有3(3)个额外的反向标记,只是为了显示极端情况)
答案 2 :(得分:2)
这可能会影响性能,但应该是安全的。
首先运行DESCRIBE表查询以获取允许的字段名称列表,然后将这些agaisnt与用户提交的数据进行匹配。
如果匹配,那么您可以使用用户提交的数据而无需任何转义。
如果不匹配那么这是一个拼写错误或黑客攻击 - 无论是输入数据中的“错误”还是不应该运行查询。
通过运行SHOW TABLES查询并从该结果集进行匹配,可以对“动态”表名进行相同的操作。
在我的一个应用程序中,我有一个'安装'脚本;这部分查询数据库和表字段名称,然后写一个总是被引回的php文件,所以我不会再次在数据库中运行DESCRIBE查询,例如
$db_allowed_names['tableName1']['id'] = 1;
$db_allowed_names['tableName1']['field1'] = 1;
$db_allowed_names['tableName1']['field2'] = 1;
$db_allowed_names['tableName2']['id'] = 1;
$db_allowed_names['tableName2']['field1'] = 1;
$db_allowed_names['tableName2']['field2'] = 1;
$db_allowed_names['tableName2']['field3'] = 1;
if($db_allowed_names['tableName1'][$_POST['field']]) {
//ok
}
我使用像这样的数组键,因为if语句比in_array查找快一点
答案 3 :(得分:1)
How about something like this?
function filter_identifier($str, $extra='') {
return preg_replace('/[^a-zA-Z0-9_'.$extra.']/', '', $str);
}
try {
$res = $db->query('SELECT '.filter_identifier($_GET['column'], '\*').' FROM '.filter_identifier($_GET['table']).' WHERE id = ?', $id);
} catch (PDOException $e) {
die('error querying database');
}
This is a simple white-list based character list. Any characters not in the list will get removed. Fortunately for me, I was able to make the database and tables, so I know there will never be any characters outside "a-zA-Z0-9_" (note: no space). You can add extra characters to the list via the $extra arg. If someone were to try and put "(SELECT * FROM users);--" in 'column', it would filter down to "SELECT*FROMusers", which would thrown an exception :)
I try to avoid doing extra queries if at all possible (I'm very performance sensitive). So things like doing a DESCRIBE beforehand or hard-coding an array of tables/columns to check against is something I'd rather not do.
答案 4 :(得分:0)
项目的奇怪设计,但针对您的问题:使用`并使用“添加”作为名称包围您的字段名称。
select `field1`, `field2` from table where `field3`=:value