Question

我有一个带有GET方法的HTML表单和五个文本输入字段，它有助于过滤数据。当用户填写一个或多个字段时，这些数据将显示为url query。

我的问题是如何在没有SQL注入的情况下安全地使用此查询数据？

修改当然，是通过名称，位置等对用户数据进行简单过滤，而不是全文搜索。

'first_name LIKE' => '%'.$this->request->query('first_name').'%'

在文档中哪里解释了bind方法，比如？

->bind(':name', $this->request->query('name'))

Answer 1

为避免SQL注入漏洞，您可以使用查询占位符。

您的代码应该与

类似

$query = $this->Users->find()
    ->where([
        'first_name LIKE' => '%:name%'
    ])
    ->bind(':name', $this->request->query('first_name'));

更多信息：

Binding Values在 Cookbook 3.x：数据库访问＆amp; ORM
Query::bind()

Answer 2

您应该考虑使用Search Plugin

它非常简单，在控制器中写这个

public $components = array(
    'Search.Prg'
);

public function index() {
    $this->Prg->commonProcess();
    $this->set('users', $this->paginate($this->Users->find('searchable',
    $this->Prg->parsedParams())));
}

这个在Model

中

public $filterArgs = array(
    'first_name' => array(
        'type' => 'like',
        'field' => 'first_name'
    )
);

public function initialize(array $config = []) {
    $this->addBehavior('Search.Searchable');
}

你已经完成了。

有关更多示例，请访问here

CakePHP 3：用get方法搜索表单并查找条件，如何防止SQL注入？

2 个答案: