如何以安全的方式执行这段代码以防止SQL注入?
我试图阅读mysqli->prepared的 php 手册,但由于我是 PHP 开发的新手,所以我无法转换它。
注意: DAL::$conn $msqli = new mysqli()
$objects = array();
if($id != null)
{
$sql = "select * from Pages where id = ".$id;
}
else
{
$sql = "select * from Pages";
}
$result = mysqli_query(DAL::$conn, $sql);
if (mysqli_num_rows($result) > 0) {
// output data of each row
$records = 0;
while($row = mysqli_fetch_assoc($result)) {
$records++;
$data = new Pages();
$data->id = $row["id"];
$data->title = $row['title'];
$data->content = $row["content"];
$objects[$records] = $data;
}
} else {
//No results
}
可以注入任何查询,无论是读取还是写入,持久查询还是暂时查询。可以通过结束一个查询并运行一个单独的查询(可以使用 mysqli(来执行注入,这使得预期的查询变得无关紧要。
来自外部源的查询的任何输入,无论是来自用户还是内部,都应被视为查询的参数,以及查询上下文中的参数。查询中的任何参数都需要参数化。这将导致一个正确的参数化查询,您可以从中创建预准备语句并使用参数执行。例如:
SELECT col1 FROM t1 WHERE col2 = ?
? 是参数的占位符。使用 mysqli,您可以使用 prepare 创建预准备语句,使用 bind_param 将变量(参数(绑定到参数,并使用 execute 运行查询。你根本不需要清理参数(事实上这样做是有害的(。 Mysqli为您做到这一点。整个过程将是:
$stmt = mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
参数化查询和预准备语句之间还有一个重要的区别。此语句在准备好时未参数化,因此容易受到注入:
$stmt = mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
总结一下:
- 所有查询都应正确参数化(除非它们没有参数(
- 查询的所有参数都应尽可能视为敌对 否物质来源
感谢@Drudge
这是我的工作安全示例:)只是为了注意到 DAL = 新$mysqli (( 它只是我的类。将其张贴在这里,以便其他人也可以看到它:)
function GetPages()
{
$objects = array ();
$records = 0;
$stmt = ($id == null ? DAL::$conn->prepare ( "select * from Pages" ) : DAL::$conn->prepare ( "select * from Pages where id = ?" ));
if ($id != null) {
$stmt->bind_param ( "i", $id );
}
$stmt->execute ();
$result = $stmt->get_result ();
while ( $row = mysqli_fetch_assoc ( $result ) ) {
$records ++;
$data = new Pages ();
$data->id = $row ["id"];
$data->title = $row ['title'];
$data->content = $row ["content"];
$objects [$records] = $data;
}
return $objects;
}
感谢您的精彩提示