4

我已经阅读了很多关于 sql 注入的内容,并且我了解它如何导致问题(即:DROP TABLE _ _ 等)。但我不确定我所遵循的教程实际上是如何防止这种情况发生的。我只是在学习 PDO,我想我理解它。

这段代码对 SQL 注入安全吗?为什么会这样?(使用这些准备好的语句需要做更多的工作,所以我想确定我不只是在浪费时间——如果代码可以改进,请告诉我!

$conn = new PDO("mysql:host=$DB_HOST;dbname=$DB_DATABASE",$DB_USER,$DB_PASSWORD);

// Get the data
$firstname = $_POST["v_firstname"];
$lastname =  $_POST["v_lastname"];
$origincountry =  $_POST["v_origincountry"];
$citizenship = $_POST["v_citizenship"];
$gender = $_POST["v_gender"];
$dob = $_POST["v_dob"];
$language = $_POST["v_language"];
$landing = $_POST["v_landing"];
$email = $_POST["v_email"];
$phone = $_POST["v_phone"];
$cellphone = $_POST["v_cellphone"];
$caddress = $_POST["v_caddress"];
$paddress = $_POST["v_paddress"];
$school = $_POST["v_school"];
$grade = $_POST["v_grade"];
$smoker = $_POST["v_smoker"];
$referred = $_POST["v_referred"];
$notes = $_POST["v_notes"];


//Insert Data
$sql = "INSERT INTO clients (firstname, lastname, origincountry, citizenship, gender, dob, language, landing, email, phone, cellphone, caddress, paddress, school, grade, smoker, referred, notes) 
        VALUES (:firstname, :lastname, :origincountry, :citizenship, :gender, :dob, :language, :landing, :email, :phone, :cellphone, :caddress, :paddress, :school, :grade, :smoker, :referred, :notes)";
$q = $conn->prepare($sql);
$q->execute(array(':firstname'=>$firstname,
                  ':lastname'=>$lastname,
                  ':origincountry'=>$origincountry,
                  ':citizenship'=>$citizenship,
                  ':gender'=>$gender,
                  ':dob'=>$dob,
                  ':language'=>$language,
                  ':landing'=>$landing,
                  ':email'=>$email,
                  ':phone'=>$phone,
                  ':cellphone'=>$cellphone,
                  ':caddress'=>$caddress,
                  ':paddress'=>$paddress,
                  ':school'=>$school,
                  ':grade'=>$grade,
                  ':smoker'=>$smoker,
                  ':referred'=>$referred,
                  ':notes'=>$notes));
4

3 回答 3

4

是的,代码是安全的,因为 PDO 会正确转义并为您引用参数数组。

于 2012-09-02T05:48:26.570 回答
1

您的代码不会受到 SQL 注入的影响,因为您使用的是参数化查询,这基本上意味着一旦构建查询并将其发送到 sql 服务器,它就会被转义,同样可以通过使用 php 的内置函数来实现mysql_real_escape_string()

以下视频是关于 OWASP 的 sql 注入的重要信息视频: SQL 注入

于 2012-09-02T07:30:52.070 回答
0

规则是:不要手动构造 sql,你可以在其中执行以下操作:

sqlStatement = 'select field1, field2, field3 from mytable where index = '' + myVariable + ''

以上是危险的,因为如果您的应用程序允许用户将数据传递到 myVariable,他们可能会将完整的 SQL 命令发送到您的数据库服务器。

如上所述,使用参数化查询是解决方案。

于 2012-09-02T06:00:40.210 回答