magento中的反sql注入

时间:2018-08-03 06:44:10

标签: php magento sql-injection

我搜索了反SQL注入代码。我采用了以下代码。 我想再次确认以下php代码可以防止sql注入

$sql_select = "
SELECT
    *
FROM main_tbl
WHERE 
(
  (((main_tbl.from_id = :sender_id) AND (main_tbl.to_id = :to_id)) 
    OR ((main_tbl.to_id = :sender_id) AND (main_tbl.from_id = :to_id)))
  AND
  (main_tbl.last_date > :lasttime)
);
";

$binds = array(
    'sender_id' => $sender_id, 
    'to_id' => $to_id,
    'sender_id' => $sender_id,
    'to_id' => $to_id,
    'lasttime' => $lasttime
);
$resource = Mage::getModel('core/resource');
$read = $resource->getConnection('core_read');
$results = $read->fetchAll($sql_select, $binds);

1 个答案:

答案 0 :(得分:2)

是的,此代码未显示任何漏洞,应该是安全的。一个好的经验法则是始终验证用户输入。

但是您的代码有点缺陷,但是从您对问题的评论来看,我认为您已经知道这一点。

相关问题
最新问题