如何以安全的方式执行PHP Select查询?
如何以安全的方式执行这段代码以防止SQL注入 我试图阅读如何以安全的方式执行PHP Select查询?,php,mysql,Php,Mysql,如何以安全的方式执行这段代码以防止SQL注入 我试图阅读mysqli->prepared的php手册,但由于我是php开发新手,所以无法将其转换 注意: DAL::$conn是$msqli=new mysqli() 任何查询都可以被注入,无论是读还是写、持久还是暂时。注入可以通过结束一个查询并运行一个单独的查询(可以使用mysqli)来执行,这会使预期的查询变得无关 来自外部源的任何查询输入,无论是来自用户还是内部源,都应被视为查询的参数,以及查询上下文中的参数。查询中的任何参数都需要参数化。这
mysqli->prepared
的php手册,但由于我是php开发新手,所以无法将其转换
注意:
DAL::$conn
是$msqli=new mysqli()
任何查询都可以被注入,无论是读还是写、持久还是暂时。注入可以通过结束一个查询并运行一个单独的查询(可以使用mysqli)来执行,这会使预期的查询变得无关 来自外部源的任何查询输入,无论是来自用户还是内部源,都应被视为查询的参数,以及查询上下文中的参数。查询中的任何参数都需要参数化。这将导致一个正确参数化的查询,您可以从该查询创建一个准备好的语句并使用参数执行。例如:
SELECT col1 FROM t1 WHERE col2 = ?
?
是参数的占位符。使用mysqli,您可以使用prepare创建prepared语句,使用bind_param将变量(参数)绑定到参数,并使用execute运行查询。你根本不必对争论进行净化(事实上这样做是有害的)。mysqli是为你做的。整个过程将是:
$stmt = mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
参数化查询和预处理语句之间还有一个重要的区别。此语句在编写时未参数化,因此容易被注入:
$stmt = mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
总结如下:
感谢@Drudge 这是我的工作安全示例:) 注意DAL=new$mysqli()这只是我的类。 将其张贴在此处,以便其他人也可以看到:)
感谢您的精彩提示
$id=mysqli\u real\u escap\u string($conn,$id)代码>mysqli\u real\u escap\u字符串是否阻止sql注入?有关信息,请参阅Nice Thnx Nice。但是如果没有where?$stmt=mysqli->prepare(“从t1中选择col1”);而$stmt->bind_param(“s”,$col2_arg”);该参数可以为null,那么该怎么办?@StefanvandeLaarschot我想你应该看看这个manul@StefanvandeLaarschot,同时检查“所有查询都应该正确参数化”的摘要部分中的第一点(除非它们没有参数)“如果查询中有参数,则需要以不需要的其他方式对查询进行参数化。
$stmt = mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
function GetPages()
{
$objects = array ();
$records = 0;
$stmt = ($id == null ? DAL::$conn->prepare ( "select * from Pages" ) : DAL::$conn->prepare ( "select * from Pages where id = ?" ));
if ($id != null) {
$stmt->bind_param ( "i", $id );
}
$stmt->execute ();
$result = $stmt->get_result ();
while ( $row = mysqli_fetch_assoc ( $result ) ) {
$records ++;
$data = new Pages ();
$data->id = $row ["id"];
$data->title = $row ['title'];
$data->content = $row ["content"];
$objects [$records] = $data;
}
return $objects;
}