Question

我已经阅读了各种来源，但我不确定如何将它们应用到我的代码中。我想知道是否有人能给我一个快速的手？一旦我被告知如何在我的代码中执行一次，我就能够接受它，我想！这是我在网上找到的一个AJAX自动完成，虽然我看到由于'％$ queryString％'或其他原因它容易受到SQL注入的影响？任何帮助真的很感激！

if ( isset( $_POST['queryString'] ) )
{
  $queryString = $_POST['queryString'];
  if ( strlen( $queryString ) > 0 )
  {
    $query = "SELECT game_title, game_id FROM games WHERE game_title LIKE '%$queryString%' || alt LIKE '%$queryString%' LIMIT 10";
    $result = mysql_query( $query, $db ) or die( "There is an error in database please contact support@laglessfrag.com" );
    while ( $row = mysql_fetch_array( $result ) )
    {
      $game_id = $row['game_id'];
      echo '<li onClick="fill(\'' . $row['game_title'] . '\',' . $game_id . ');">' . $row['game_title'] . '</li>';
    }
  }
}

Answer 1

注入漏洞是您将用户提供的数据直接传递给查询而不对其进行清理。特别是，这一行存在问题：

$queryString = $_POST['queryString'];

如果您使用mysql_real_escape_string()周围的$_POST['queryString']功能，则会阻止用户插入自己的代码。

$queryString = mysql_real_escape_string($_POST['queryString']);

Answer 2

在将值连接到查询字符串之前，对来自不受信任来源的所有值使用mysql_real_escape_string()。（作为一般规则，如果您没有将值硬编码到查询字符串中，请将其转义）。例如：

$queryString = mysql_real_escape_string($_POST['queryString']);
$query =  "SELECT game_title, game_id "
        . "FROM games "
        . "WHERE game_title LIKE '%".$queryString."%'" 
        . "|| alt LIKE '%".$queryString."%' "
        . "LIMIT 10";

使用支持预处理语句的mysql适配器通常更容易，这使得忘记清理输入更加困难。例如，PHP有pdo或mysqli

如何从SQL注入中保护此代码？有点困惑

2 个答案: