Mysqli准備聲明(SQL注入預防)
[英]Mysqli prepared statement (SQL injection prevention)
問題描述
在停止使用已棄用的mysql_ *函數后,我切換到了mysqli。 但后來,我注意到非預處理語句對SQL注入是不安全的。 然后,我再次更改了我的代碼。
我所擁有的是以下函數,它檢查數據庫中是否存在變量$ ID ,並打印該行的title值:
function showPostTitle($ID, $mysqli) {
$result = $mysqli -> query("SELECT ID, title FROM blog where ID = $ID");
$row = $result -> fetch_array(MYSQLI_BOTH);
echo $row['title'];
}
我改成了這個:
function showPostTitle($ID, $mysqli) {
$stmt = $mysqli -> prepare("SELECT ID, title FROM blog WHERE ID = ?");
$stmt -> bind_param("i", $ID);
$stmt -> execute();
$stmt -> bind_result($ID, $title);
$stmt -> fetch();
print_r($title);
$stmt -> free_result();
}
我的問題是:這是實施准備好的陳述的正確方法嗎? 另外,我現在從SQL注入安全嗎? 非常感謝誰回答這個問題:)
2 個解決方案
解決方案1
4 已采納 2013-01-07 16:45:35
你的mysqli邏輯似乎很好, PHP手冊中有一些例子,以防你沒有看到它們。
為什么不在消費時選擇ID呢? 當你只在整個結果集中返回一行時,你真的不需要綁定結果,因為我認為在這種情況下會發生(ID是表中的唯一索引),而是使用get_result 。
使用mysqli prepare可以防止所有常見的注入攻擊,但不能使用0天的樣式,而這些攻擊尚未成為驅動程序。
解決方案2
1 2013-01-07 16:16:43
Mysqli_escape_string或Prepared語句如何使我免於SQL注入
[英]How Mysqli_escape_string or Prepared statement can save me from SQL Injection
即使沒有轉義用戶輸入,PDO和MySQLi Prepared語句也可以防止SQL注入嗎?
[英]Can PDO and MySQLi prepared statement prevent SQL injection even when not escaping user input?
Mysqli准備的語句可以在SQL中工作,但不能在我的應用程序中工作
[英]Mysqli prepared statement working in SQL but not in my application
SQL注入漏洞,帶有使用串聯的准備好的語句
[英]SQL injection vulnerability with prepared statement that uses concatenation
PHP:在查詢中使用IN語句進行SQL注入預防時出錯
[英]PHP: Error when using IN statement in query with SQL injection prevention
使用預准備語句的此mysqli代碼是否可以安全地防止SQL注入?
[英]Is this mysqli code using prepared statements safe against SQL injection?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
為什么這個MySQLI預處理語句允許SQL注入?
PHP MySQLi為SELECT准備了語句(避免SQL注入)
MySQLi准備好的語句是否足以阻止SQL注入?
Mysqli_escape_string或Prepared語句如何使我免於SQL注入
即使沒有轉義用戶輸入,PDO和MySQLi Prepared語句也可以防止SQL注入嗎?
Mysqli准備的語句可以在SQL中工作,但不能在我的應用程序中工作
SQL注入漏洞,帶有使用串聯的准備好的語句
PHP:在查詢中使用IN語句進行SQL注入預防時出錯
使用預准備語句的此mysqli代碼是否可以安全地防止SQL注入?
MySQLi准備的語句問題
相關標簽