堆栈内存溢出
  繁体   English   中英

选择和插入数据时保护php和sql

[英]Secure php and sql when selecting and inserting data

 原文  2016-12-07 15:49:45       php/ mysql/ sql/ security/ sanitize

问题描述

我有一个应用程序,该应用程序从MySQL数据库中获取数据并向其中插入数据(用户正在编写要插入的数据),说实话,我对php还是很陌生,对字符串的保护和清理不了解很多,我想要使php文件更安全,而且我不知道该按什么顺序查找,如果有人可以发送教程,那就太好了。

这是选择和插入代码 

    <?php
header('Content-Type: text/html; charset=utf-8');

    $db = "*********";
    $username = "*********";
    $password = "*******";
    $host = "************";

$sql = "select * from sample;";


$conn = mysqli_connect($host,$username,$password,$db);

$conn->set_charset('utf8');




$result = mysqli_query($conn,$sql);

$response = array();

while($row = mysqli_fetch_array($result))
{
    array_push($response,array($row[0],$row[1],$row[2]));
}
$str = json_encode(array($response),JSON_UNESCAPED_UNICODE);
$str = clean($str);
echo $str;
mysqli_close($conn);


function clean($string) {
    $string = str_replace(' ', ' ', $string);
    $string = preg_replace('/[^a-zA-Z0-9,×-×–, : . -]/', '', $string);
    return preg_replace('/-+/', '-', $string);
}

?>

和插入: 

<?php

    $db = "*********";
    $username = "*********";
    $password = "*******";
    $host = "************";
$conn = mysqli_connect($server_name,$mysql_username,$mysql_password,$db_name);


$name =$_POST["name"];
$publisher=$_POST["publisher"];
$date=$_POST["date"];


$sql_query = "insert into sample(name,publisher,date)
             values('$name','$publisher','$date');";

if(mysqli_query($conn,$sql_query))
{
echo "data inserted";
}
else
{
echo "error";
}
?>

2 个解决方案

解决方案1
 0  2016-12-07 16:10:34

随时使用准备好的语句: 

$sql_query = "insert into sample(name,publisher,date) values(?,?,?);";

$stmt = mysqli_prepare($conn,$sql_query);

mysqli_stmt_bind_param( $stmt , "sss" , $name,$publisher,$date);

mysqli_stmt_execute($stmt);

并尝试仅使用对象样式,而不使用mysqli扩展的过程。

您在这里混合两者: 

$conn = mysqli_connect($host,$username,$password,$db);//procedural style

$conn->set_charset('utf8');//oject style

解决方案2
 0  2016-12-07 16:11:38

您可以使用PDO。 构建安全的SELECT和INSERT查询非常简单。 虽然,您必须小心某些命令,例如ORDER BY。 

<?php

$pdo = new PDO('mysql:host=localhost;dbname=databasename;charset=utf8', 'username', 'password');
$statement = $pdo->prepare("SELECT * FROM users WHERE firstname = :firstname AND lastname = :lastname");
$statement->execute(array(':firstname' => 'Max', ':lastname' =>  'Mustermann'));  

if( $statement->rowCount() > 0 ) { 
   $row = $statement->fetch();
   echo "Hello " . $row['firstname'];
}

?>

也可以使用Mysqli,但是请签出mysqli_real_escape_string。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 从两个表中选择数据,然后将其插入新表? (SQL / PHP) 为什么将数据插入SQL Server时我的php产生错误? 使用PHP表单在SQL中将数据插入表中时出错 serialize()和unserialize()的问题-插入和选择数据PHP MySQL 通过PHP将数据插入SQL表的更正 对于每个循环PHP,插入SQL而不插入数据 使用PHP在我的SQL中插入POST数据 使用PHP将数据插入SQL的问题 使用PHP从SQL Server选择数据 PHP | 插入数组时的SQL语法错误
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM