我是第一次使用自定义扩展程序/特殊页面。我正在尝试创建一个查询数据库并在页面上显示结果的简单页面。我得到了以下代码:
class SpecialBuildRating extends SpecialPage {
function __construct() {
parent::__construct( 'BuildRating' );
}
function execute( $par ) {
if(isset($_GET['id'])){
$buildId = $_GET['id'];
$db = wfGetDB( DB_SLAVE );
$res = $db->select(
'build_rating',
array('article_id', 'user_id', 'vote', 'comment', 'date'),
'article_id = 1485', //BuildId instead of 1485
__METHOD__,
array( 'ORDER BY' => 'date ASC' )
);
}
$request = $this->getRequest();
$output = $this->getOutput();
$this->setHeaders();
# Get request data from, e.g.
$param = $request->getText( 'param' );
# Do stuff
# ...
$wikitext = 'Hello world!';
$output->addWikiText( $wikitext );
$outP = '<table style="width:100%">
<tr>
<td>article_id</td>
<td>user_id</td>
<td>vote</td>
<td>comment</td>
<td>date</td>
</tr>
';
if ($res != null) {
foreach( $res as $row ) {
$outP .= '<td>' . $row->article_id . '</td><td>' . $row->user_id . '</td><td>' . $row->vote . '</td><td>' . $row->comment . '</td><td>' . $row->date . '</td>';
}
}
$output->addWikiText( $outP );
}
}
如何以安全的方式将$buildId传递给WHERE语句而不是1485以防止注入?
我所遇到的另一个问题不是$output->addWikiText($var);输出调用问题,是否有更简单/更有效的方法来执行此操作?
答案 0 :(得分:2)
$res = $db->select(
'build_rating',
array('article_id', 'user_id', 'vote', 'comment', 'date'),
array( 'article_id' => $buildId ),
__METHOD__,
array( 'ORDER BY' => 'date ASC' )
);
有关详细信息,请参阅https://www.mediawiki.org/wiki/Manual:Database_access。
在输出时,请使用$output->addHTML(),但在这种情况下,您自己负责preventing XSS。
另一点,在MediaWiki中,它建议使用$this->getRequest()->getInt( 'name', $defaultValue )而不是直接访问请求全局变量。