代码之家  ›  专栏  ›  技术社区  ›  Dipak

清理输入数据是否会阻止sql注入?[复制]

bindparam sanitization pdo php
  •  -1
  • Dipak  · 技术社区  · 6 年前

    static column name 在这里是不可能的。所以,我用 santize . 好像sql注入就足够了 bind param 方法。什么是最好的方法? 

    $id = filter_var($_POST['id'], FILTER_SANITIZE_STRING);
$text = filter_var($_POST['text'], FILTER_SANITIZE_STRING);
$column_name = filter_var($_POST['column_name'], FILTER_SANITIZE_STRING);
$result = $con->query("UPDATE menu SET $column_name='$text' WHERE mid=$id") OR die($con->error);
    1 回复  |  直到 6 年前
        1
  •  1
  •   deceze    6 年前

    您可以清除 语法 意思 . 按其定义,SQL注入意味着您可以使查询执行与预期不同的操作。在这里,您的查询完全开放,任何人都可以替换列名,列名对查询结构至关重要。通过允许用户更改列,您无法控制查询中哪些列可能会被更改,根据定义,查询是SQL注入的一种形式。

    你需要 白名单 任何 id

    推荐文章
    Inception  ·  返回lastInsertID时“参数编号无效:未绑定任何参数”
    6 年前
    mister martin  ·  按组限制而不忽略重复项?
    6 年前
    Second View  ·  php Limit query pdo with button next(下一步)按钮
    6 年前
    Howard Feng  ·  pdo与oracle的错误
    6 年前
    Aishwaryas  ·  使用php从数据库动态创建元标记
    6 年前
    gator  ·  将SQL结果格式化为数组;通过密钥访问?[副本]
    6 年前
    kittygirl  ·  警告:PDO::prepare():SQLSTATE[42000]:语法错误或访问冲突:更新时为1064
    6 年前
    Mickael  ·  数据截断为256个字符-PHP和HFSQL数据库,使用PDO ODBC试验
    6 年前
    Attila Deák  ·  pdo查询bindparam数组是否为字符串(或整数)?
    6 年前
    style237  ·  使用AJAX PDO PHP访问每个JSON数组元素onClick
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号