在LIKE查询中使用绑定变量

时间:2013-12-05 23:25:40

标签: php mysql sql sql-like

只是浏览我的网站并测试sql漏洞的表单,忘了我没有转换我的搜索查询来使用绑定变量。

firefox的插件(Sql Inject Me)非常棒!另外,还有我可以使用的附加功能,可以检查安全问题,循环漏洞等吗?

现在对于这个问题,我该如何转换它:

    $query = "SELECT * FROM blogs WHERE frontpage = 1 && (tags LIKE '%".$searchterm."%' OR blogtitle LIKE '%".$searchterm."%') ORDER BY id DESC";

try 
{ 
    // These two statements run the query against your database table. 
    $stmt = $db->prepare($query); 
    $stmt->execute();
    $countresults = $stmt->rowCount();

} 
catch(PDOException $ex) 
{ 
    // Note: On a production website, you should not output $ex->getMessage(). 
    // It may provide an attacker with helpful information about your code.  
    die("Failed to run query: " . $ex->getMessage()); 
} 

所以我可以使用:searchterm等。我知道如何在简单的SELECT等上执行此查询,只是不知道如何为LIKE查询执行此操作。

0 个答案:

没有答案