我终于找到了一种我认为是好的、安全的、快速的执行查询的方法,但我想在整个网站上实现它之前完全确定。
我的代码:
$email = $_POST['email'];
$displayName = $_POST['displayName'];
$pass = $_POST['pass1'];
if($stmt = $link -> prepare("INSERT INTO profiles (email, displayName, password) VALUES (?, ?, md5(?))")) {
/* Bind parameters
s - string, b - boolean, i - int, etc */
$stmt -> bind_param("sss", $email, $displayName, $pass);
/* Execute it */
$stmt -> execute();
echo "You are now registered.<br />";
echo "<a href='"login.php'">Login</a>";
/* Close statement */
$stmt -> close();
}
顺便说一句,stmt代表什么?
编辑,新代码:
/* Create a prepared statement */
$stmt = $link -> prepare("INSERT INTO profiles (email, displayName, password,
dateRegistered) VALUES (?, ?, md5(?), NOW())");
if ( false===$stmt ) {
die('prepare() failed: ' . htmlspecialchars($link->error));
}
$rc = $stmt -> bind_param("sss", $email, $displayName, $pass);
if ( false===$rc ) {
die('bind_param() failed: ' . htmlspecialchars($stmt->error));
}
/* Execute it */
$rc = $stmt->execute();
if ( false===$rc ) {
die('execute() failed: ' . htmlspecialchars($stmt->error));
}
echo "You are now registered.<br />";
echo "<a href='"login.php'">Login</a>";
/* Close statement */
$stmt -> close();
是的-这是一个已准备好的语句,几乎可以避免SQL注入的风险,而SQL注入是已准备好语句的主要目的。
唯一的缺点是,当它们被用于必须处理不同查询的实用程序时,可能会很麻烦,比如说,具有动态数量的字段。不过,你可以用反射来绕过这一点。
不过,也有一些建议:
-
密码的md5?可能不是最安全的选择。考虑使用加密盐(如果你用谷歌搜索的话,上面有很多东西)
-
您似乎是直接从
$_POST
超全局获取数据,而不进行检查或sanisation,但我想这只是为了减少这个SO问题的代码片段的长度。永远不要直接从输入插入到查询-应该有一个验证/转义/编码等阶段。 -
你似乎没有检查语句的执行是否成功——你假设它成功了,然后继续进行反馈。请先检查错误。