我已经读过了:
将帮助你避免注射。因为转义只是一个字符串格式化工具,而不是任何形式的防注入器。图。然而,转义与预处理语句有一些共同之处:它们都不能保证你不会注射您只使用它来对付臭名昭著的"用户输入",而不是作为构建任何查询的严格规则,尽管数据源。如果您需要插入的不是数据,而是标识符或关键字。
在下面的帖子:是动态mysql查询与sql转义一样安全的准备语句?
我的问题是使用
$Var = "UserInput Data Possible SQL Injection";
$mysqli->real_escape_string($Var);
不提供对SQL注入的保护?
我想使用$mysqli->query();
,所以我可以使用fetch_array(MYSQLI_ASSOC);
,因为坦率地说,我不知道如何在使用prepared
语句后获取结果作为数组。
所以如果我在数据库连接中有这个:
$STD = new mysqli('localhost', 'root', 'xx', 'xx');
$STD->set_charset('utf8');
if ($STD->connect_error) {
die("Standard Access Has Been Revoked. Please Contact Administration");
}elseif (!$STD){
die ("Other problem With Connecting To Database, Please Contact Administration");
}
real_escape_string
手册中规定的http://php.net/manual/en/mysqli.real-escape-string.php
以上列表:
谨慎Security:默认字符集字符集必须在服务器级别设置,或者使用API函数mysqli_set_charset()设置,以便影响mysqli_real_escape_string()。
链接到:http://php.net/manual/en/mysqli.set-charset.php
我的总体问题可以分为三个选项,第一个是要求prepared
语句的fetch_array()
等同,这将提供完整的SQL注入预防,因为准备好的语句发送原始数据。
第一个问题如下:
我使用查询作为:
$GetCompletedQuery = $STD->query("SELECT Status FROM UserCompletion WHERE `UserID`=' ". $STD->real_escape_string($_SESSION['UID']) ."'");
$GetCompletedArray = $GetCompletedQuery->fetch_array(MYSQLI_ASSOC);
返回:
Array ([Status] => 1)
但是使用预处理语句:
$GetCompletedQuery = $STD->prepare("SELECT Status FROM UserCompletion WHERE `UserID`=?");
$GetCompletedQuery->bind_param('i', $_SESSION['UID']);
$GetCompletedQuery->execute();
$GetCompletedArray = $GetCompletedQuery->fetch_row;
print_r($GetCompletedArray);
返回:
致命错误:在/var/www/new/api/constants .php中的非对象上调用成员函数fetch_row()
当我尝试fetch_array()
时,也出现了同样的情况,我知道不能与准备好的语句一起使用。
那么使用预处理语句的选项是什么呢?
第二个问题
如果我使用My Usual Query作为:
$GetCompletedQuery = $STD->query("SELECT Status FROM UserCompletion WHERE `UserID`=' ". $STD->real_escape_string($_SESSION['UID']) ."'");
这使我能够使用fetch_array();
的数据妥善保护从SQL注入?
第三个问题:
我应该逃避/保护从SQL注入的$_SESSION['UID'];
,因为这是分配在以下庄园:
$InnerJoinQuery = $STD->query("
SELECT Users.ID, Users.Username, Users.Password, UserInformation.LastName, UserInformation.Firstname, UserInformation.DOB
FROM Users
INNER JOIN UserInformation
ON Users.ID = UserInformation.UserID WHERE Users.Username = '".$_SESSION['real_name']."'");
$InnerJoinArray = $InnerJoinQuery->fetch_array(MYSQLI_ASSOC);
$_SESSION['UID'] = $InnerJoinArray['ID'];
$_SESSION['Password'] = $InnerJoinArray['Password'];
$_SESSION['Firstname'] = $InnerJoinArray['Firstname'];
$_SESSION['LastName'] = $InnerJoinArray['LastName'];
$_SESSION['DOB'] = $InnerJoinArray['DOB'];
这段代码解释了:
User以用户名&密码时,文件根据$_SESSION['real_name'];
从数据库获取信息并将结果添加到$_SESSION数组中,将每个结果添加到不同的键中。
这个块的问题是,当$_SESSION['UID'];
通过基于$_SESSION['real_name'];
的数据库分配时,我是否应该逃避/保护SQL注入
感谢您花时间阅读这篇文章。
- http://php.net/manual/en/mysqli-stmt.get-result.php
- 是的,但这是非常糟糕的做法:
- 在这种情况下会有帮助,但在这种情况下,只能,其他任何 都可以欺骗您。
- 手动转义是愚蠢的,最好让司机为你做
- 是的,因为没有SQL注入这样的事情,但是格式不正确只有
是使用
$mysqli->real_escape_string($Var);
不提供对SQL注入的保护?
我没有改变主意:当然没有。
只有当您将结果值括在引号中(并使用mysqli_set_charset()
严格设置正确的编码)时才会这样做。
看,SQL注入不是必不可少的东西,它自己存在,但它只是一个结果。查询格式不正确的结果。
在创建查询时,必须正确格式化查询的每个部分。不是因为什么"注射"而是为了注射本身。当你要在查询中插入一个字符串时,你必须把它放在引号里,否则你会得到一个语法错误。当你要在查询中插入字符串时,你必须转义这些用来分隔字符串的引号,否则你会得到一个语法错误。等等......您应该关注的是正确的格式,而不是关于注入的可怕故事。和只要你有每个动态查询部分正确格式化根据它的类型-没有注入是可能的
所以,变量的来源或它的值永远不应该是你关心的。但只有它在查询中的位置:
- 字符串必须用引号括起来并转义。
- 数字必须转换为它的类型。
- 标识符必须用反引号括起来,并将这些反引号加倍
当查询的静态部分硬编码在脚本中时,我们不使用如此严格的标准-例如,我们不将每个标识符都用反引号括起来。
但是对于动态部分的查询,应用格式规则应该是严格的规则,因为我们不能确定变量内容。