如何以安全的方式执行PHP Select查询?

时间:2016-02-13 09:05:48

标签: php mysql

如何以安全的方式执行这段代码以防止SQL注入?

我尝试阅读mysqli->prepared的php手册,但由于我是PHP开发的新手,因此我无法对其进行转换。

注意: DAL::$conn$msqli = new mysqli()

$objects = array();
        if($id != null)
        {
            $sql = "select * from Pages where id = ".$id;
        }
        else
        {
            $sql = "select * from Pages";
        }

        $result = mysqli_query(DAL::$conn, $sql);

        if (mysqli_num_rows($result) > 0) {
            // output data of each row
            $records = 0;

            while($row = mysqli_fetch_assoc($result)) {
                $records++;
                $data = new Pages();
                $data->id       =   $row["id"];
                $data->title    =   $row['title'];
                $data->content  =   $row["content"];
                $objects[$records] = $data;
            }
        } else {
            //No results
        }

2 个答案:

答案 0 :(得分:5)

无论是读取还是写入,持久性还是瞬态,都可以注入任何查询。可以通过结束一个查询并运行单独的查询(可能使用mysqli)来执行注入,这会使预期的查询无关紧要。

来自外部源的查询的任何输入,无论是来自用户还是内部,都应被视为查询的参数,以及查询上下文中的参数。查询中的任何参数都需要参数化。这导致了一个正确参数化的查询,您可以从参数创建预准备语句并使用参数执行。例如:

SELECT col1 FROM t1 WHERE col2 = ?

?是参数的占位符。使用mysqli,您可以使用prepare创建预准备语句,使用bind_param将变量(参数)绑定到参数,并使用execute运行查询。你根本不需要消毒这个论点(事实上这样做是有害的)。 mysqli为你做到了这一点。整个过程将是:

$stmt = mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();

参数化查询和预准备语句之间也存在重要区别。这个陈述虽然准备好了,但没有参数化,因此很容易被注射:

$stmt = mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");

总结:

  1. 所有查询都应该正确参数化(除非他们没有 参数)
  2. 查询的所有参数都应尽可能地被视为敌对 重要的是他们的来源

答案 1 :(得分:0)

感谢@Drudge

这是我工作的安全示例:) 只是注意到DAL = new $ mysqli()只是我的班级。 将它发布在这里,以便其他人也能看到它:)

             function GetPages()
             {

                $objects = array ();

                $records = 0;
                $stmt = ($id == null ? DAL::$conn->prepare ( "select * from Pages" ) : DAL::$conn->prepare ( "select * from Pages where id = ?" ));
                if ($id != null) {
                    $stmt->bind_param ( "i", $id );
                }

                $stmt->execute ();

                $result = $stmt->get_result ();
                while ( $row = mysqli_fetch_assoc ( $result ) ) {
                    $records ++;
                    $data = new Pages ();
                    $data->id = $row ["id"];
                    $data->title = $row ['title'];
                    $data->content = $row ["content"];
                    $objects [$records] = $data;
                }

                return $objects;
          }

感谢您提供的精彩提示