[英]Prevent SQL injection attack in PHP
我想防止 SQL 对这段 PHP 代码进行攻击(这只是课堂练习)。 这可以通过将@mail
设置为类似'); DROP TABLE PURCHASE; --
来轻松利用。 '); DROP TABLE PURCHASE; --
$db = new SQLite3 ($db_name);
$sql = sprintf ("INSERT INTO PURCHASE (quantity, name, password, mail)
VALUES ('%s', '%s', '%s', '%s')\n",
$Quantity, $Name, $Password, $Mail );
echo $sql;
if (!$db->exec ($sql)) {
throw new Exception($db->lastErrorMsg());
}
我试图通过传递这样的参数来防止这种情况,但我得到500 Internal Server Error
$db = new SQLite3 ($db_name);
$sql = $db->prepare("INSERT INTO PURCHASE(quantity, name, password, mail)
VALUES (:Quantity, :Name, :Password, :Mail)");
$sql->bindValue(':Quantity', $Quantity, SQLITE3_TEXT);
$sql->bindValue(':Name', $Name, SQLITE3_TEXT);
$sql->bindValue(':Password', $Password, SQLITE3_TEXT);
$sql->bindValue(':Mail', $Mail, SQLITE3_TEXT);
echo $sql;
if (!$db->exec ($sql)) {
throw new Exception($db->lastErrorMsg());
}
我怎样才能解决这个问题?
SQLite3::exec
用于执行查询字符串,而不是准备好的语句。 您需要改用SQLite3Stmt::execute
。 改变:
if (!$db->exec ($sql)) {
throw new Exception($db->lastErrorMsg());
}
至
if (!$sql->execute()) {
throw new Exception($db->lastErrorMsg());
}
请注意,您不能echo $sql
,因为它是 object,而不是简单类型。 如果您想查看SQLite3Stmt
object 的外观,您需要print_r($sql)
或var_dump($sql)
。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.