如何从SQL注入中保护此代码? 有点困惑
[英]How can I protect this code from SQL Injection? A bit confused
问题描述
我已经阅读了各种来源,但我不确定如何将它们应用到我的代码中。 我想知道是否有人能给我一个快速的手? 一旦我被告知如何在我的代码中执行一次,我就能够接受它,我想! 这是我在网上找到的一个AJAX自动完成,虽然我看到由于'%$ queryString%'或其他原因它容易受到SQL注入的影响? 任何帮助真的很感激!
if ( isset( $_POST['queryString'] ) )
{
$queryString = $_POST['queryString'];
if ( strlen( $queryString ) > 0 )
{
$query = "SELECT game_title, game_id FROM games WHERE game_title LIKE '%$queryString%' || alt LIKE '%$queryString%' LIMIT 10";
$result = mysql_query( $query, $db ) or die( "There is an error in database please contact support@laglessfrag.com" );
while ( $row = mysql_fetch_array( $result ) )
{
$game_id = $row['game_id'];
echo '<li onClick="fill(\'' . $row['game_title'] . '\',' . $game_id . ');">' . $row['game_title'] . '</li>';
}
}
}
2 个解决方案
解决方案1
7 已采纳 2010-03-31 18:00:40
注入漏洞是您将用户提供的数据直接传递给查询而不对其进行清理。 特别是,这条线存在问题:
$queryString = $_POST['queryString'];
如果你在$_POST['queryString']周围使用函数mysql_real_escape_string() ,那将阻止用户插入自己的代码。
$queryString = mysql_real_escape_string($_POST['queryString']);
解决方案2
1 2010-03-31 18:01:21
在将值连接到查询字符串之前,对来自不受信任的源的所有值使用mysql_real_escape_string() 。 (作为一般规则,如果您没有将值硬编码到查询字符串中,请将其转义)。 例如:
$queryString = mysql_real_escape_string($_POST['queryString']);
$query = "SELECT game_title, game_id "
. "FROM games "
. "WHERE game_title LIKE '%".$queryString."%'"
. "|| alt LIKE '%".$queryString."%' "
. "LIMIT 10";
如何保护此代码免受sql注入?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.