基于过滤查询的php参数化查询_Php_Sql Injection_Parameterized Query

基于过滤查询的php参数化查询

php

基于过滤查询的php参数化查询,php,sql-injection,parameterized-query,Php,Sql Injection,Parameterized Query,我正在根据用户应用的过滤器构建一个查询。通过拉取数据，一切都按照我希望的方式进行。我现在谈到安全问题。当我的“WHERE”可以添加多个过滤器时，如何确保安全 $sql_Year = $_GET['year']; $sql_Model = $_GET['model']; $sql_Style = $_GET['style']; $sql_Color = $_GET['color']; if ( !empty($sql_Year) ) $insertY .= " and Year='$sql_Ye

我正在根据用户应用的过滤器构建一个查询。通过拉取数据，一切都按照我希望的方式进行。我现在谈到安全问题。当我的“WHERE”可以添加多个过滤器时，如何确保安全

$sql_Year = $_GET['year'];
$sql_Model = $_GET['model'];
$sql_Style = $_GET['style'];
$sql_Color = $_GET['color'];

if ( !empty($sql_Year) ) $insertY .= " and Year='$sql_Year'";
if ( !empty($sql_Model) ) $insertY .= " and Model='$sql_Model'";
if ( !empty($sql_Style) ) $insertY .= " and Body='$sql_Style'";
if ( !empty($sql_Color) ) $insertY .= " and Colour='$sql_Color'";

$stmt = $con->prepare("SELECT DISTINCT(`Year`) FROM `cars` WHERE `New/Used` =  'N' ".$insertY." ORDER BY `Year` ASC ");
$stmt->execute();
$stmt->bind_result($Year);


while ($row = $stmt->fetch()) {

}

我听从了你的建议，做了些安排。我现在收到一个错误：mysqli_stmt:：bind_param（）[mysqli stmt.bind param]：类型定义字符串中的元素数与绑定变量数不匹配。我的新代码是：

$get_Year = $_GET['year'];
$get_Model = $_GET['model'];
$get_Style = $_GET['style'];
$get_Color = $_GET['color'];

$YearArray = array();
$YearValues .= "WHERE `New/Used`=?";
$YearTypes .= "s";
array_push($YearArray, "U");
if ($get_Year != "") {
    $YearValues .= " and `Year`=?";
    $YearTypes .= "s";
    array_push($YearArray, "2004");
}
if ($get_Model != "") {
    $YearValues .= " and Model=?";
    $YearTypes .= "s";
    array_push($YearArray, $get_Model);
}
if ($get_Style != "") {
    $YearValues .= " and Body=?";
    $YearTypes .= "s";
    array_push($YearArray, $get_Style);
}
if ($get_Color != "") {
    $YearValues .= " and Colour=?";
    $YearTypes .= "s";
    array_push($YearArray, $get_Color);
}
$YearVariables = implode(',', $YearArray);

$stmt = $con->prepare("SELECT DISTINCT(`Year`) FROM `cars` ".$YearValues." ORDER BY `Year` ASC ");
$stmt->bind_param($YearTypes, $YearVariables); 
$stmt->execute();
$stmt->bind_result($Year);

我可以将这样的数组用于bind_param吗

您需要对输入进行消毒！以下是我通常使用的卫生功能：

function sanitize($string){
    $string = str_replace(array('"',"'"), array("&#34;","&#39;"),$string);
    $string = trim($string);
    $string = stripslashes($string);
    $string = mysql_real_escape_string($string);
    return $string;
}

像这样使用：

if ( !empty($sql_Year) ) $insertY .= " and Year='".sanitize($sql_Year)."'";
if ( !empty($sql_Model) ) $insertY .= " and Model='".sanitize($sql_Model)."'";
if ( !empty($sql_Style) ) $insertY .= " and Body='".sanitize($sql_Style)."'";
if ( !empty($sql_Color) ) $insertY .= " and Colour='".sanitize($sql_Color)."'";

您需要构建两个并行数组：一个用于您正在使用的“值”，另一个用于“占位符”。最后，你把所有的东西拼凑在一起，得到了一个动态的准备好的声明，这在术语上有点矛盾。我根据你的建议做了一些更新。请使用新代码查看我的编辑。非常感谢。寻求进一步帮助。只使用

mysql\u real\u escape\u string

有什么错？-1没有意识到OP没有使用不推荐的mysql\u*函数。