如何使用PHP、PDO和prepared语句创建安全(避免SQL注入)分页?
我正在搜索创建PDO分页,发现它对SQL注入很脆弱 我想知道将此代码转换为SQL注入安全的最简单方法 更新1 在本例中,我希望根据用户输入添加可选的where语句和order by 我的代码是:如何使用PHP、PDO和prepared语句创建安全(避免SQL注入)分页?,php,security,pdo,sql-injection,Php,Security,Pdo,Sql Injection,我正在搜索创建PDO分页,发现它对SQL注入很脆弱 我想知道将此代码转换为SQL注入安全的最简单方法 更新1 在本例中,我希望根据用户输入添加可选的where语句和order by 我的代码是: <?php $limit = 2; $order_by = filter_input(INPUT_GET, 'order_by'); $order_dir = filter_input(INPUT_GET, 'order_dir'); $query_research_str = filter
<?php
$limit = 2;
$order_by = filter_input(INPUT_GET, 'order_by');
$order_dir = filter_input(INPUT_GET, 'order_dir');
$query_research_str = filter_input(INPUT_GET, 'search_str');
$query = "SELECT * FROM kategori";
// If search string
if ($query_research_str) {
//$dbmanager->where('user_name', '%' . $query_research_str . '%', 'like');
$query = $query . "where user_name like %".$query_research_str."% ";
}
// If order direction option selected
if ($order_dir) {
//$dbmanager->orderBy($order_by, $order_dir);
$query = $query . " order By ".$order_by." ".$order_dir;
}
$s = $db->prepare($query);
$s->execute();
$total_results = $s->rowCount();
$total_pages = ceil($total_results/$limit);
if (!isset($_GET['page'])) {
$page = 1;
} else{
$page = $_GET['page'];
}
$starting_limit = ($page-1)*$limit;
$show = $query." LIMIT $starting_limit, $limit";
$r = $db->prepare($show);
$r->execute();
while($res = $r->fetch(PDO::FETCH_ASSOC)):
?>
<h4><?php echo $res['id'];?></h4>
<p><?php echo $res['nama_kat'];?></p>
<hr>
<?php
endwhile;
for ($page=1; $page <= $total_pages ; $page++):?>
<a href='<?php echo "?page=$page"; ?>' class="links"><?php echo $page; ?>
</a>
<?php endfor; ?>
如果您能够将SQL查询作为存储过程放在SQL server上,则应考虑潜在的SQL注入。转换为整数,如$page=integer$_GET['page'];。
这样一来,如果有任何注入代码,它就会在翻译过程中丢失。我有几点意见
$order_by = filter_input(INPUT_GET, 'order_by');
$order_dir = filter_input(INPUT_GET, 'order_dir');
$query_research_str = filter_input(INPUT_GET, 'search_str');
$order_by = $_GET['order_by'];
$order_dir = $_GET['order_dir'];
$query_research_str = $_GET['search_str'];
$columns = ['user_name', 'create_date'];
$order_by = 'user_name';
if (array_search($_GET['order_by'], $columns)) {
$order_by = $_GET['order_by'];
}
$order_dir = 'ASC';
if ($_GET['order_dir'] == 'DESC') {
$order_dir = 'DESC';
}
$query = "SELECT * FROM kategori WHERE true";
$params = [];
if ($query_research_str) {
$query .= " AND user_name LIKE ?";
$params[] = "%{$query_research_str}%";
}
$query .= " ORDER BY `{$order_by}` {$order_dir}";
$s = $db->prepare($query);
$s->execute($params);
$rows = $s->fetchAll(PDO::FETCH_ASSOC);
$total_rows = $s->rowCount();
$page = (int) $_GET['page'] ?? 1;
$offset = ($page-1) * $limit;
$end = min($total_rows, $offset + $limit);
for ($i = $offset; $i < $end; $i++) {
?>
<h4><?php echo $row[$i]['id'];?></h4>
<p><?php echo $row[$i]['nama_kat'];?></p>
<hr>
<?php
}
通常认为它更有效,尤其是在大型记录集中,在x和y之间使用id,而不是限制x,y-因此使用where子句时,准备好的语句仍然是安全的。我认为在mysqli中,您可以为limit子句使用占位符,但在PDO中不能使用占位符-因此,也许id betwwen方法有legs?@RamRaider请检查更新的代码。我想现在更复杂了,我需要一个帮助:@RamRaider-是的,你可以使用placeholers来限制PDO。绑定参数时,只需将其显式设置为INT。传递要执行的参数将不起作用,因为它将被视为字符串。我不完全确定使用PDO是否可行-感谢您的澄清,谢谢您的回答,但问题不是关于SQL server的。我也想使用PDOmySQL允许存储过程,这是一个很好的方法,因为正确使用准备好的语句(如OP在问题中所问的语句)也会考虑任何潜在的SQL注入。我使用PDO sqlite,没有机会使用存储过程。我是一个反对者。我的理由是存储过程处理潜在的SQL注入是错误的。任何人都可以像在应用程序代码中一样轻松地在存储过程中编写不安全的动态SQL。其他变量呢$order_by、$order_dir和$query_research_str$order_dir可以作为整数-1/-1向用户请求$order_by也可以作为整数选项从已知列列表中请求。这些是专门处理分页的变量$query_research_str不是分页变量,看起来像是被未公开的函数过滤。我使用htmlPurifier库来处理这些。