如何以安全的方式执行这段代码以防止SQL注入?
我尝试阅读mysqli->prepared
的php手册,但由于我是PHP开发的新手,因此我无法对其进行转换。
注意:
DAL::$conn
为$msqli = new mysqli()
$objects = array();
if($id != null)
{
$sql = "select * from Pages where id = ".$id;
}
else
{
$sql = "select * from Pages";
}
$result = mysqli_query(DAL::$conn, $sql);
if (mysqli_num_rows($result) > 0) {
// output data of each row
$records = 0;
while($row = mysqli_fetch_assoc($result)) {
$records++;
$data = new Pages();
$data->id = $row["id"];
$data->title = $row['title'];
$data->content = $row["content"];
$objects[$records] = $data;
}
} else {
//No results
}
答案 0 :(得分:5)
无论是读取还是写入,持久性还是瞬态,都可以注入任何查询。可以通过结束一个查询并运行单独的查询(可能使用mysqli)来执行注入,这会使预期的查询无关紧要。
来自外部源的查询的任何输入,无论是来自用户还是内部,都应被视为查询的参数,以及查询上下文中的参数。查询中的任何参数都需要参数化。这导致了一个正确参数化的查询,您可以从参数创建预准备语句并使用参数执行。例如:
SELECT col1 FROM t1 WHERE col2 = ?
?
是参数的占位符。使用mysqli,您可以使用prepare创建预准备语句,使用bind_param将变量(参数)绑定到参数,并使用execute运行查询。你根本不需要消毒这个论点(事实上这样做是有害的)。 mysqli为你做到了这一点。整个过程将是:
$stmt = mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
参数化查询和预准备语句之间也存在重要区别。这个陈述虽然准备好了,但没有参数化,因此很容易被注射:
$stmt = mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
总结:
答案 1 :(得分:0)
感谢@Drudge
这是我工作的安全示例:) 只是注意到DAL = new $ mysqli()只是我的班级。 将它发布在这里,以便其他人也能看到它:)
function GetPages()
{
$objects = array ();
$records = 0;
$stmt = ($id == null ? DAL::$conn->prepare ( "select * from Pages" ) : DAL::$conn->prepare ( "select * from Pages where id = ?" ));
if ($id != null) {
$stmt->bind_param ( "i", $id );
}
$stmt->execute ();
$result = $stmt->get_result ();
while ( $row = mysqli_fetch_assoc ( $result ) ) {
$records ++;
$data = new Pages ();
$data->id = $row ["id"];
$data->title = $row ['title'];
$data->content = $row ["content"];
$objects [$records] = $data;
}
return $objects;
}
感谢您提供的精彩提示