3

我终于做出了我认为是执行查询的好、安全和快速的方法,但我想在整个站点上实施它之前完全确定。

我的代码:

$email = $_POST['email'];
$displayName = $_POST['displayName'];
$pass = $_POST['pass1'];

if($stmt = $link -> prepare("INSERT INTO profiles (email, displayName, password) VALUES (?, ?, md5(?))")) {

        /* Bind parameters
            s - string, b - boolean, i - int, etc */
        $stmt -> bind_param("sss", $email, $displayName, $pass);

        /* Execute it */
        $stmt -> execute();

        echo "You are now registered.<br />";
        echo "<a href=\"login.php\">Login</a>";


        /* Close statement */
        $stmt -> close();
    }

顺便说一句,stmt 是什么意思/代表什么?

编辑,新代码:

    /* Create a prepared statement */

    $stmt = $link -> prepare("INSERT INTO profiles (email, displayName, password,
    dateRegistered) VALUES (?, ?, md5(?), NOW())");

    if ( false===$stmt ) {
      die('prepare() failed: ' . htmlspecialchars($link->error));
    }

    $rc = $stmt -> bind_param("sss", $email, $displayName, $pass);
    if ( false===$rc ) {
      die('bind_param() failed: ' . htmlspecialchars($stmt->error));
    }

    /* Execute it */
    $rc = $stmt->execute();
    if ( false===$rc ) {
      die('execute() failed: ' . htmlspecialchars($stmt->error));
    }

    echo "You are now registered.<br />";
    echo "<a href=\"login.php\">Login</a>";


    /* Close statement */
    $stmt -> close();
4

1 回答 1

2

是的 - 这是一个准备好的语句,它几乎可以避免 SQL 注入的风险,这是准备好的语句背后的主要目的。

唯一的缺点是,当用于必须处理不同查询的实用程序时,它们可能会很麻烦,比如动态数量的字段。不过,您可以使用反射来解决这个问题

不过有几点建议:

  • md5 密码?可能不是最安全的选择。考虑使用加密盐(如果你用谷歌搜索的话,会有很多东西)

  • 您似乎直接从$_POST超全局获取数据而没有检查或清理,但我想这只是为了减少这个 SO 问题的代码片段长度。永远不要直接从输入插入到查询 - 应该有一个验证/转义/编码等阶段。

  • 你似乎没有检查语句的执行是否成功——你假设它是成功的,然后继续进行反馈。首先检查错误。

于 2012-07-13T22:45:02.313 回答