代码之家 › 专栏 › 技术社区 › Knowledge Drilling

magento中的反sql注入

sql-injection magento php

1

Knowledge Drilling · 技术社区 · 6 年前

我搜索了反sql注入代码。我所采用的是遵守守则。我想再次确认以下php代码可以防止sql注入

$sql_select = "
SELECT
    *
FROM main_tbl
WHERE 
(
  (((main_tbl.from_id = :sender_id) AND (main_tbl.to_id = :to_id)) 
    OR ((main_tbl.to_id = :sender_id) AND (main_tbl.from_id = :to_id)))
  AND
  (main_tbl.last_date > :lasttime)
);
";

$binds = array(
    'sender_id' => $sender_id, 
    'to_id' => $to_id,
    'sender_id' => $sender_id,
    'to_id' => $to_id,
    'lasttime' => $lasttime
);
$resource = Mage::getModel('core/resource');
$read = $resource->getConnection('core_read');
$results = $read->fetchAll($sql_select, $binds);

1 回复 | 直到 6 年前

1

2

Classified 6 年前

是的,这段代码没有显示任何漏洞,应该是安全的。一个好的经验法则是始终验证用户输入。

但是你的代码有点缺陷,但是从你对问题的评论来看,我认为你已经知道了。

推荐文章

Jacco · 未能格式化我的日期以在php中正确工作

1 年前

darshita_baldha · 如何在Laravel组件中传递数组变量?

1 年前

nitroflox · 在php中删除带有安全和httponly选项的cookie值得吗?

1 年前

Community wiki · 在OOP中,依赖项是否应该包含对其父项的引用?

1 年前

Arno van Oordt · 存储在MonogoDB中时将类实例转换为字符串

1 年前

Jaime Montoya · 访问器魔术方法在PHP 8中不起作用[重复]

1 年前

jay ram · 如何在URL核心php中从API获取JSON?

1 年前

Endricho Folabessy · 我在Laravel 10中的一对一关系有什么错误

1 年前

pernifloss · 如何在使用电子邮件时保持Outlook邮件未读trhough pop3

1 年前

Ishwarya A · php电子表格在浏览器中显示多张excel

1 年前

关于移动版

代码之家 - 一站式码农服务社区

沪ICP备11025650号