在通常情况下,我们具有与setParameters配对的andWhere / orWhere函数,可以正确防止注入。
我的案子比较复杂,我想确保一切都安全。如果我正确阅读了学说代码,似乎使用文字会产生相同的效果,但是我不确定是否可以...请问。确认/确认以下2种情况是安全的(都可以使用预处理语句防止SQL注入和使用通配符注入)?
第一种情况
$expr = $queryBuilder->expr()->orX();
$expr->add($queryBuilder->expr()->lt('entityName.field - ' . $queryBuilder->expr()->literal($rule->getValue()), $queryBuilder->expr()->literal(self::MAX_ERROR))); // Since the second part is a constant (and a numeric one) it shouldn't need literal but... can't hurt.
第二种情况
$expr = $queryBuilder->expr()->orX();
$expr->add($queryBuilder->expr()->like('entityName.field', $queryBuilder->expr()->literal(addcslashes($rule->getValue(), '%_') . '%')));
答案 0 :(得分:2)
简而言之,您提供的任何陈述都不安全。
Query\Expr中的方法不会自动将您的值转换为参数占位符。
Query\Expr::literal 有效地使用Query\Expr::literal仅将值转换为DQL语句的文字字符串值,并将提供的值适当地括在引号中。尽管该方法的确从提供的值中转义了单引号,但这样做并不能防止所有SQL注入方法。 [sic]
第一种情况
$expr = $em->getExpressionBuilder();
$orX = $expr->orX();
$orX->add(
$expr->lt(
'entityName.field - ' . $expr->literal($rule->getValue()),
$expr->literal(self::MAX_ERROR)
)
);
//...
$qb = $em->createuQueryBuilder()
->where($orX);
dump($qb->getQuery()->getSQL());
如果$rule->getValue()是实数,则生成的 SQL 语句将成为“文字”数字值。
WHERE (
(alias.column - 10 < 2)
OR
(...)
)
如果$rule->getValue()和self::MAX_VALUE是数字字符串(可能会产生意外结果),则结果 SQL 输出将是:
WHERE (
(alias.column - '10' < '2')
OR
(...)
)
假设没有添加其他参数,则$qb->getQuery()->getParameters()将为空的ArrayCollection。
要确保您的语句不受SQL注入的影响,您必须在语句中声明参数占位符,并使用setParameter至bind the parameter values to the placeholders。
$orX->add(
$expr->lt(
'entityName.field - :rule_value',
':max'
)
);
$qb->setParameter('rule_value', $rule->getValue());
$qb->setParameter('max', self::MAX_VALUE);
如果您有多个占位符,则需要适当地跟踪和绑定它们。
$v = 0;
for (/*...*/) {
$param = \sprintf('rule_value%d', $v++);
$orX->add(
$expr->lt(
"entityName.field - :$param",
':max'
)
);
$qb->setParameter($param, $rule->getValue());
}
$qb->setParameter('max', self::MAX_VALUE);
从您评论中的问题开始:
如何处理和混合的可变数量条件 有or哪里没有expr?像WHERE condition1和 (或条件1或条件2或...或条件N)
您可以使用所需的WHERE或andX分组来创建多个嵌套标准,以提供给orX子句。
$expr->orX(
$expr->andX(
'expr1',
'expr2'
),
$expr->andX(
'expr3',
'expr4'
),
);
或
$andXA = $expr>andX();
$andXB = $expr->andX();
$orX = $expr->orX();
$andXA->add('expr1');
$andXA->add('expr2');
$andXB->add('expr3');
$andXB->add('expr4');
$orX->add($andXA);
$orX->add($andXB);
或者,您可以使用WHERE或andWhere将表达式添加到orWhere子句的主要部分,但是您需要使用表达式生成器来更改嵌套条件分组。 / p>
$qb
->orWhere($andXA, $andXB);
这将产生一个像{p>
WHERE为消除与参数的混淆,DQL不支持值数组。 DQL只是查询Doctrine应用程序已知的对象符号的一种标准化方法。
但是,针对ORM和DBAL的Doctrine 2.1+ WHERE ((expr1 AND expr2) OR (expr3 AND expr4))
以及QueryBuilder方法都支持对值数组进行参数化并重复使用相同的命名参数,这与{{1} }或Doctrine\DBAL\Connection::executeQuery预备语句。 [sic]。在内部,Doctrine会将参数值和重复的参数占位符值的数组转换为单个参数占位符,以发送到PDO准备好的语句。
PDO结果SQL输出。
MySQLi结果参数:
$expr = $em->getExpressionBuilder();
$qb
->where($expr->andX(
$expr->in('cn.a', ':a'),
$expr->lt('cn.b', ':b'),
$expr->gt('cn.c', ':b')
))
->setParameter('a', ['a', 'b', 'c'])
->setParameter('b', 1);
WHERE w0_.a IN(?)
AND w0_.b < ?
AND w0_.c > ?
注入要使用带参数占位符的like语句,必须在array(array("a","b","c"),1,1)
值内指定通配符%或%。
_不利的一面是,如果变量还包含通配符,则可能会产生不希望的结果。为了防止通配符注入,您可以指定如何在查询中对通配符进行转义,这将与查询构建器和参数占位符一起使用。
setParameter()DBAL Expression Builder支持转义字符作为提供的参数。
$qb->setParameter(0, '%' . $value . '%');
产生的SQL查询:
$qb
->where($expr->like('a', ':a ESCAPE ' . $expr->literal('#')))
->setParameter('a', '%' . preg_replace('/([#%_])/', '#$0', $value) . '%');
结果参数:
$value = 'test%';
$d_qb = $em->getConnection()->createQueryBuilder();
$d_expr = $d_qb->expr();
$d_qb
->where($d_expr->like('a', ':a', '#'))
->setParameter('a', '%' . preg_replace('/([#%_])/', '#$0', $value) . '%');