如何防止Wordpress中的SQL注入?

时间:2014-11-05 09:05:13

标签: sql wordpress security sql-injection

我目前正在使用以下查询来使用php获取mysql中的值:

代码正常运行,但现在我担心sql注入。

如何防止SQL注入?

<?php include_once("wp-config.php");
@$gameid = $_GET['gameid'];

global $wpdb;
$fivesdrafts = $wpdb->get_results( 
    "
    SELECT ID
    FROM $wpdb->posts
    WHERE  ID = ".$gameid." 

    "
);
?>

这样安全吗?

<?php include_once("wp-config.php");
@$gameid = mysql_real_escape_string($_GET['gameid']);

global $wpdb;
$fivesdrafts = $wpdb->get_results(
$wpdb->prepare(
    "
    SELECT ID
    FROM $wpdb->posts
    WHERE  ID = %d", ".$gameid.")
);
?>

1 个答案:

答案 0 :(得分:13)

来自WordPress Codex on protecting queries against SQL Injection attacks

<?php $sql = $wpdb->prepare( 'query' , value_parameter[, value_parameter ... ] ); ?>

如果向下滚动一点,则有examples

您还应该阅读database validation docs以更全面地了解WordPress中的SQL转义。

相关问题
最新问题