1

我有一个使用 php 生成的 sql 查询。它返回具有与搜索词匹配的字段的任何记录的代理键,以及在其他表中具有与搜索词匹配的相关记录的任何记录。

我将表合并为一个,然后使用单独的函数来检索表中包含的列的列表(我希望允许添加到表而不重写 php 代码以降低持续维护)。

然后使用此代码

foreach ($col_array as $cur_col) {
    foreach ($search_terms_array as $term_searching) {
        $qry_string.="UPPER(";
        $qry_string.=$cur_col;
        $qry_string.=") like '%";
        $qry_string.=strtoupper($term_searching);
        $qry_string.="%' or ";
    }
}

生成查询字符串的其余部分

select tbl_sub_model.sub_model_sk from tbl_sub_model inner join [about 10 other tables]

    where [much code removed] or UPPER(tbl_model.image_id) like '%HONDA%' or
 UPPER(tbl_model.image_id) like '%ACCORD%' or UPPER(tbl_badge.sub_model_sk) like '%HONDA%'
 or UPPER(tbl_badge.sub_model_sk) like '%ACCORD%' or UPPER(tbl_badge.badge) like '%HONDA%'
 or UPPER(tbl_badge.badge) like '%ACCORD%' group by tbl_sub_model.sub_model_sk

它做了我想要它做的事情,但是它很容易受到 sql 注入的影响。我一直在用 pdo 替换我的 mysql_* 代码以防止这种情况发生,但我将如何保护这个代码超出了我的范围。

所以我的问题是,我如何以安全的方式搜索所有这些表?

4

2 回答 2

0

这是一个解决方案,它要求数据库将搜索词大写并用'%'通配符装饰它们:

$parameters = array();
$conditions = array();
foreach ($col_array as $cur_col) {
    foreach ($search_terms_array as $term_searching) {
        $conditions[] = "UPPER( $cur_col ) LIKE CONCAT('%', UPPER(?), '%')";
        $parameters[] = $term_searching;
    }
}

$STH = $DBH->prepare('SELECT fields FROM tbl WHERE ' . implode(' OR ', $conditions));
$STH->execute($parameters);

笔记:

  1. 我们让 MySQL 在用户的搜索词上调用 UPPER(),而不是让 PHP 调用 strtoupper()
    这应该可以限制可能的搞笑/令人困惑的字符集不匹配问题。您所有的标准化都发生在一个地方,并且尽可能接近使用时刻。
  2. CONCAT() 是特定于 MySQL 的
    但是,当您标记问题[mysql]时,这可能不是问题。
  3. 此查询与您的原始查询一样,将无视索引。
于 2012-11-16T19:49:37.287 回答
-1

尝试使用数组来保存参数。注意 % 在 term 之前和之后添加,因为LIKE %?% 在查询字符串中不起作用PHP 手册

    //Create array to hold $term_searching
    $data = array();
    foreach ($col_array as $cur_col) {
        foreach ($search_terms_array as $term_searching) {
            $item = "%".strtoupper($term_searching)."%";//LIKE %?% does not work
            array_push($data,$item) 
            $qry_string.="UPPER(";
            $qry_string.=$cur_col;
            $qry_string.=") LIKE ? OR";
        }
}
$qry_string = substr($qry_string, 0, -3);//Added to remove last OR

$STH = $DBH->prepare("SELECT fields FROM table WHERE ". $qry_string);//prepare added 
$STH->execute($data);

编辑

$qry_string = substr($qry_string, 0, -3)添加以删除最后一次出现的ORprepare添加到$STH = $DBH->prepare("SElECT fields FROM table WHERE". $qry_string)

于 2012-11-16T15:29:35.803 回答