最受欢迎

验证数据库匹配中的 $_GET ID 是否足够安全

Is validating $_GET id in database match secure enough?

本文关键字:ID GET 是否 安全 数据库 验证 | 更新日期: 2023-09-27

我在网站上有2个页面,一个是索引.php索引页面列出了数据库中存在的所有帖子,另一个页面是帖子.php当点击索引页面上的特定帖子时,帖子页面显示单个帖子。

现在我用来列出索引上所有帖子的代码.php是:

$postslist = mysqli_query($db, "SELECT * FROM posts");
while ($post = mysqli_fetch_array($postlist)) {
    echo '<a href="' .SITEURL.'/post.php?p='.$post['postid'].'>'.$post['title'].'</a>';
}

这行得通,我在我的索引.php页面上显示所有帖子,链接链接到帖子.php页面上的帖子。

在帖子.php页面上,我使用了这样的代码:

if(!isset($_GET['p'])){
    echo 'Dont load this page directly';
} 
else {
    $id = $_GET['p'];
    $querypost = mysqli_query($conn,
                    "SELECT * 
                    FROM posts 
                    WHERE postid='$id'");
            $data = mysqli_fetch_array($querypost);
        echo '<h3>' . $data['title'] . '</h3>';
}

这工作正常并使用该 id 检索帖子,但我在 stackoverflow 上阅读了一些教程和帖子,这可能有点不安全,建议使用这样的代码只是为了确保它对数据库使用安全

if(!isset($_GET['p'])){
    echo 'Dont load this page directly';
} 
else {
    $id = $_GET['p'];
            $id = mysqli_real_escape_string($id);
    $querypost = mysqli_query($conn,
                    "SELECT * 
                    FROM posts 
                    WHERE postid='$id'");
            $data = mysqli_fetch_array($querypost);
        echo '<h3>' . $data['title'] . '</h3>';
}

但是这会引发一个错误,那么它是否足够安全,只需检查数据库是否存在 postid,如果这不够安全,我该如何使其安全?

问题的第 2 部分

编辑:好吧,我已经搜索了你们发布的方法,几个小时后我让它与mysqli_prepare一起使用,但将其用于 post.php 相当容易,因为它只连接到帖子表并根据帖子 ID 从一个表中提取所有数据。

但是当我在不同的页面上尝试相同的方法时,这变成了相当大的解决方案。

在第二页上,我必须从 5 个不同的表中提取数据,这些表使用 LEFT JOIN 连接到表中特定列中特定 id 的所有匹配项,这就是仅使用 3 个表的结果。

$stmt = mysqli_prepare($conn,
            "SELECT * 
            FROM giveaways 
            INNER JOIN members
            ON giveaways.creator = members.steamID
            INNER JOIN sc_steamgames
            ON giveaways.gameid = sc_steamgames.appid
            WHERE giveawayID=?");
mysqli_stmt_bind_param($stmt, "i", $id);
mysqli_stmt_execute($stmt);
mysqli_stmt_bind_result($stmt, $id, $creator, $comment, $tcreated, $tstarting, $tfinish, $provider, $type, $gameid, $memberid, $steamid, $username, $profileurl, $avatar, $avatarmed, $avatarbig, $steamgames, $regdate, $verified, $coins, $gold, $points, $appid, $title, $storeprice, $valuedprice, $pointsworth);
mysqli_stmt_fetch($stmt);
echo $creator .' - '. $comment . ' - '. $gameid . ' - ' .$title.' - '.($storeprice /100) ;
mysqli_stmt_close($stmt);

工作正常,但是您可以看到它变得有 3 张桌子有多大,我需要从另外 2 张表中提取信息,所以我想知道这是否真的是您会使用的解决方案?

还有一个问题,如果用户必须浏览具有静态值的页面,例如

index.php?go=upcoming

我是否需要使用更多的安全性或像现在一样使用它

if(isset($_GET['go']) && $_GET['go'] == 'upcoming')

够安全吗?因为有已知的 go 价值和期望。

抛出错误,因为mysqli_real_escape_string需要两个参数,第一个是连接$conn

如果这样做,它应该足够安全,但最好使用参数化查询。 例如:

$stmt = mysqli_prepare($conn, "SELECT cols FROM posts WHERE postid = ?");
mysqli_stmt_bind_param($stmt, 'i', $id);

检查数据库中是否存在id注入根本不安全,因为您必须首先在查询中使用潜在的恶意id来执行检查。

如果id列是整数,请使用以下命令:

$id = (int) $_GET['p'];

这将是安全的,因为(int)类型的强制会去除任何非法字符。

使 SQL 安全也可以像这样简单:始终对动态值使用参数。这适用于整数值以及字符串和日期。这样,您无需担心引用,转义或过滤。 @ExplosionPills显示了一个示例。

相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习