我正在使用Jquery Query Builder来创建自定义SQL查询。我正在使用Ajax将数据发送到服务器并获得结果。
但问题是这个AJAX请求是通过Inspector Agents可见的。有人可以轻松更改查询。
所以我想找出防止sql注入的方法。这是我的Javascript代码:
// Define Query Option
var query_options = {
plugins: [
'bt-checkbox','sortable'
],
filters: [
{
id: 'CITY',
label: 'city',
type: 'string',
input: 'select',
multiple: true,
plugin: 'select2',
plugin_config: {
multiple: "multiple",
data: []
},
operators: ['is_not_null', 'in', 'not_in', 'not_equal'],
valueSetter: function(rule, value) {}
}
]
}
// Get 'Cities' to use it in PHP File
$.get('custom/getCities', function(q_cities) {
if (q_cities.length) {
q_cities.forEach( function(element, index) {
query_options.filters[0].plugin_config['data'].push(element['CITY']);
});
}
}, 'json'),
// Create Query
// @NOTE: This is where Sql injection can be made.
$('#btn-get').on('click', function() {
var result = $('#builder-basic').queryBuilder('getSQL');
var query = result.sql;
if (!$.isEmptyObject(result)) {
$.ajax
({
url: 'custom/customquery',
// This part is vulnerable to Sql injections.
data: { query: query },
type: 'post',
dataType: "HTML",
success: function(o)
{
if (o.length) {
console.log(o);
}
}
});
}
});
这是我的PHP代码:
// Server Side PHP script
public function customquery()
{
if(isset($_POST['query'])){
$query = $_POST['query'];
}
$qry = "SELECT * FROM MYTABLE WHERE " . $query;
$result = $this->db->select($qry);
echo json_encode($result);
}
我知道有办法防止 AJAX Sql注入但是我 找不到像Jquery Query Builder这样的特定条件的任何答案。
提前致谢。