堆栈内存溢出
  繁体   English   中英

typo3 sql注入保护

[英]typo3 sql injection protection

 原文  2013-08-12 09:28:09       sql/ typo3/ code-injection/ protection

问题描述

错字框架中有没有sql注入保护? 或者我必须自己照顾构建查询?

我找到了prepare_SELECTqueryArray,但没有示例它应该如何。 我的TYPO3版本是4.7。 这个prepare_SELECTqueryArray我在网站上找到了TYPO3 v.6.1。

2 个解决方案

解决方案1
 2 已采纳  2014-01-07 16:08:03

准备好的声明至少可以在TYPO3 4.5中找到,你可以在这里看到[1]和[2]

准备好的查询可能如下所示 

$preparedQuery = $this->link->prepare_SELECTquery('fieldblob,fieldblub', $table, 'id=:id', '', '', '', array(':id' => 1));
$preparedQuery->execute();
$result = $preparedQuery->fetch();

要么 

$preparedQuery = $this->link->prepare_SELECTquery('fieldblob,fieldblub', $table, 'id=:id'); 
$preparedQuery->bindValues(array(':id' => 1));
$preparedQuery->execute();
$result = $preparedQuery->fetch();

[1] https://github.com/TYPO3/TYPO3.CMS/blob/TYPO3_4-5/t3lib/class.t3lib_db.php

[2] https://github.com/TYPO3/TYPO3.CMS/blob/TYPO3_4-5/t3lib/db/class.t3lib_db_preparedstatement.php

解决方案2
 1  2013-08-12 12:42:43

在许多地方,值会自动引用。 在prepare_ *函数中,默认情况下引用所有参数。

如果使用exec_ * querys,则需要在自己的part部分中转义值。 使用$ GLOBALS ['TYPO3_DB'] - > fullQuoteStr($ value,$ tablename)。

请注意,您也可以使用TypoScript创建SQL注入。 如果使用CONTENT-Object,则可以将GET / POST数据插入where子句。 使用intval或select.markers创建SQL-Injection保存查询。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 SQL注入保护动作 防止SQL注入 SQL注入保护 Zend Framework SQL注入保护 PHP - 自动SQL注入保护? 防止ColdFusion中的SQL注入 针对SQL注入的有效保护功能 Kohana 2.3.4 ORM sql注入保护 Python/SQL声明-参数的使用/注入保护? 帮助进行保护SQL注入
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM