sqlsrv_query函数是否足以防止数据库注入?
[英]Is the sqlsrv_query function enough to prevent DB injection?
问题描述
我正在尝试防止在我的第一个Web api上进行数据库注入,并且不确定使用sqlsrv_query函数是否足够。
1 个解决方案
解决方案1
0 已采纳 2015-12-17 14:47:20
Yes, you should be safe , provided that you: 
是的,你应该是 安全的 ,但前提是您:
- parameterize all user supplied values with
?用?参数化所有用户提供的值 placeholders占位符 - provide values for each placeholder in
$paramsin the correct order以正确的顺序在$params中为每个占位符提供值
Note however that this applies for values only - you cannot parameterize column names or table names in this way. 但是请注意,这仅适用于值-无法以这种方式参数化列名或表名。 In which case, you will need to perform validation such as whitelisting of permissible columns / tables etc. 在这种情况下,您将需要执行验证,例如将允许的列/表列入白名单等。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
在PHP中使用带sqlsrv_query函数的临时表不会产生任何结果 - Using a temporary table with sqlsrv_query function in PHP yields no results
sqlsrv_query中的游标不起作用 - cursor in sqlsrv_query not working
sqlsrv_query 不返回任何内容 - sqlsrv_query not returning anything
sqlsrv_query() 需要参数 1 - sqlsrv_query() expects parameter 1
db close 后 mssql_query 可以返回值,而 sqlsrv_query 不能 - Mssql_query can return values after db close, while sqlsrv_query cannot
获取sqlsrv_query的语法错误 - Getting syntax error for sqlsrv_query
使用sqlsrv_query多次插入 - multi-Insert using sqlsrv_query
INSERT INTO sqlsrv_query语句不起作用 - INSERT INTO sqlsrv_query statement not working
PHP sqlsrv_query执行语法错误 - PHP sqlsrv_query execution syntax error
sqlsrv_query上的sql变量的长度限制? - length restriction for the sql variable on sqlsrv_query?
相关标签