0

我正在尝试在我的 CMS 中添加过滤器下拉列表,我的模型看起来像

public function load($sort,$order,$key,$value)
{ //        $key='listening'; //        $value="1";
            //configure pagination
    $config=array(
      'base_url'=>base_url().'/index.php/companies/index',
      'total_rows'=>$this->db->get('company')->num_rows(),
      'per_page'=>$this->settings_model->get_per_page(),
      'num_links'=>20
    );

    $this->pagination->initialize($config);



    $this->db->select('company.id, 
                       company.name, 
                       company.logo, 
                       company.status_id, 
                       company.listening',FALSE);
    $this->db->select('company_category.name as category,
                       company_category.id as category_id',FALSE);

    $this->db->select('complain_status.cs_status as status',false);
    $this->db->from('company');
    $this->db->join('company_category','company_category.id = company.category_id');
    $this->db->join('complain_stastus', 'complain_status.cs_id = company.status_id');



    if(isset($_POST['key']))
    {
       $value=  str_replace('&nbsp', ' ', $_POST['value']);
        var_dump($value);
        if($value!='0')
            $this->db->having ($_POST['key'], mysql_real_escape_string($value) );

    }
    if($sort!='' || $sort!=NULL)
        $this->db->order_by ($sort, $order);

    $this->db->limit($config['per_page'], $this->uri->segment(3));

    $result=$this->db->get();
    if(!isset($_POST['key']))
        $this->filter->set_filters_list($result->result_array());

    return $result->result();
}

生成以下查询

SELECT company.id, company.name, company.logo, company.status_id, company.listening, company_category.name as category, company_category.id as category_id, complain_status.cs_status as status
FROM (`company`)
JOIN `company_category` ON `company_category`.`id` = `company`.`category_id`
JOIN `complain_status`  ON `complain_status`.`cs_id` = `company`.`status_id`
HAVING `category` =  'Health & recreation'
LIMIT 20

如您所见,当类别等于某些带有特殊字符的字符串时出现问题,例如Health & recreation它失败了,即使我尝试了由 CI 生成的查询,它也可以在 MYSQL 上正常工作并得到结果

注意:我正在替换空格 $value= str_replace('&nbsp', ' ', $_POST['value']);,因为此数据来自选择 html 元素,当它在选项中有空格时失败,因此我必须稍后在后端代码中解析并删除它

提前致谢

4

2 回答 2

2

代码点火器可能是 html_encoding 符号,以便它读取为它的 html 值。您可以通过将此行添加到运行查询的任何控制器或模型的构造函数来打开分析器来确认这一点:

$this->output->enable_profiler(TRUE);

如果我是对的,您的查询将替换为应该在&哪里。&

请注意,分析器显示&使用 a 时$this->db->last_query()仍显示 a&

于 2012-11-14T19:29:06.010 回答
0

要将符号插入数据库,您需要先转义这些值。在 PHP 中,您通常会使用:mysql_real_escape_string()

如何将特殊字符插入数据库?

但是,当您在 CodeIgniter 中执行此操作时,您必须使用查询绑定来自动转义数据,

$category = $this->input->post('category');
$status = $category = $this->input->post('status');
$status_id = $category = $this->input->post('status_id');

$sql = "SELECT * FROM company WHERE category = ? AND status = ?"; 

$this->db->query($sql, array($category, $status));

http://ellislab.com/codeigniter/user_guide/database/queries.html(在查询绑定下)

CodeIgniter 会自动阻止 SQL 注入吗?

虽然它不是原始问题的一部分,但您的代码存在缺陷,因为您使用 $_POST['value'] 没有任何类型的过滤。没有什么可以阻止某人使用 SQL 注入您的表单。

如何防止 PHP 中的 SQL 注入?

于 2012-11-14T19:33:24.327 回答