4

我正在尝试将这些 mySQl INSERT INTO 和 Update 语句切换为 PDO 准备语句(主要是为了防止 SQL 注入),但是我在正确使用语法时遇到了一些困难。

我目前正在使用 2 种类型的 INSERT/Update 语句:

声明 1 - 名称是硬编码的

$qry = "INSERT INTO customer_info(fname, lname, email, user_name, password)
VALUES('$_POST[fname]','$_POST[lname]','$_POST[email]','$user_name','".sha1($salt + $_POST['password'])."')"; 
$result = @mysql_query($qry)

语句 2 - 动态添加名称

大多数名称是动态添加的,而不是列出每个元素的名称(名称被引用为 $fieldlist 或 $setlist,值是 $vallist)。唯一硬编码的名称/值是 user_id 或数组。我在下面包含了完整的代码。

$result = mysql_query('UPDATE fit_table  SET '.$setlist.' WHERE user_id='.$user_id);
if (mysql_affected_rows()==0) {
$result = mysql_query('INSERT INTO fit_table ('.$fieldlist.') VALUES ('.$vallist.')'); };

这是我尝试过的:

声明 1 - 基于这篇文章https://stackoverflow.com/a/60530/1056713

$stmt = $conn->prepare("INSERT INTO customer_info VALUES(:fname, :lname, :email, :user_name, :password)");
$stmt->bindValue(':fname', $fname);
$stmt->bindValue(':lname', $lname);
$stmt->bindValue(':email', $email);
$stmt->bindValue(':user_name', $user_name);
$stmt->bindValue(':password ', $password);
$stmt->execute();

声明 2 - 基于此 PDO 包装器https://github.com/Xeoncross/DByte/blob/master/DB.php(在这篇文章中引用https://stackoverflow.com/a/12500462/1056713

static function insert($fit_table, array $fieldlist){
$query = "INSERT INTO`$fit_table`(`" . implode('`,`', array_keys('.$fieldlist.')). '`) 
VALUES(' . rtrim(str_repeat('?,', count($fieldlist = array_values('.$vallist.'))), ',') . ')';
return DB::$p
? DB::column($query . 'RETURNING` user_id `', $fieldlist)
: (DB::query($query, $fieldlist) ? static::$c->lastInsertId() : NULL);
}

语句 2 的完整代码(这是目前动态添加名称的方式)

// INSERT    
$fieldlist=$vallist='';
foreach ($_POST as $key => $value) {
    if ($key=='pants_waistband'){$value= implode(',',$value);}        
    $fieldlist.=$key.',';
    $vallist.='\''.($value).'\',';
}
$fieldlist=substr($fieldlist, 0, -1);
$vallist=substr($vallist, 0, -1);
$fieldlist.=', user_id';
$vallist.=','.$user_id;
// UPDATE
$setlist='';
foreach ($_POST as $key => $value) {
    if ($key=='pants_waistband'){$value= implode(',',$value);}  
    $setlist.=$key .'=\''.$value.'\',';
}
$setlist=substr($setlist, 0, -1); 

$result = mysql_query('UPDATE fit_table SET '.$setlist.' WHERE user_id='.$user_id);
if (mysql_affected_rows()==0) {
$result = mysql_query('INSERT INTO fit_table ('.$fieldlist.') VALUES ('.$vallist.')');}
4

2 回答 2

4

看,白名单并不像看起来那么无聊!
动态查询很棒,没有理由放弃这个想法。
至少你可以让它成为半动态的,以避免所有这些重复。

PDO 有一件很棒的事情——它可以接受带有值的数组,从而不需要重复绑定。它可以很简单

$stmt = $conn->prepare('INSERT INTO customer_info VALUES(?,?,?,?,?)');
$stmt->execute($_POST);

如果 $_POST 包含正确顺序的确切字段数,它将被执行。但是,一旦我们需要查询中的字段名称,它将失去所有自动化(如您自己的答案)或变得不安全(如您之前的动态代码中)。

好吧,让我们让它既安全又动态。
您唯一需要的是一个包含允许字段名称的数组,这将是我们的白名单。
然后你可以使用这个数组循环 $_POST,动态创建查询。
这是一个自动化过程的函数:
它需要三个参数,但实际上只使用一个

function pdoSet($fields, &$values, $source = array()) {
  $set = '';
  $values = array();
  if (!$source) $source = &$_POST;
  foreach ($fields as $field) {
    if (isset($source[$field])) {
      $set.="`$field`=:$field, ";
      $values[$field] = $source[$field];
    }
  }
  return substr($set, 0, -2); 
}

它将返回看起来像的字符串

`field1`=?,`field2`=?,`field3`=?

并将填充$values数组以供 PDO 查询使用。

请注意,Mysql 允许 INSERT 和 UPDATE 查询的 SET 语法 - 不需要 VALUES 语法。因此,两种功能都有一个功能。

对于插入,它就像

$fields = array("fname", "lname", "email", "user_name");
$stmt = $dbh->prepare("UPDATE users SET ".pdoSet($fields,$values));
$stmt->execute($values);

对于任何数量的字段,它将保持相同的 3 行!

对于更新,它需要更长的代码。我们需要向查询添加一些条件,以及向 $values 数组添加另一个成员。

$fields = array("fname", "lname", "email", "user_name");
$stmt = $dbh->prepare("UPDATE users SET ".pdoSet($fields,$values)." WHERE id = :id");
$values["id"] = $_POST['id'];
$stmt->execute($values);

剩下的唯一问题是如何添加尚未在 $_POST 数组中的自定义字段。
在准备之前,我只是直接将它们添加到那里:

$_POST['password'] = sha1($_POST['email'].$_POST['password']);

希望这是你所要求的。

只需澄清一件事。
准备好的语句不足以阻止注入,您的案例就是一个很好的例子。它们只处理数据,但保护字段名称是您的负担。然而,您使用的旧 mysql 方式并没有错。您的代码只是缺少相同的白名单(当然还有正确的数据格式)。但如果添加,它将使您的 mysql 查询与 PDO 一样安全。

于 2012-12-12T20:08:18.160 回答
0

我发现白名单名称比其他方法安全得多(感谢包括@zerkms 在内的几个人的帮助),并想分享完成的声明。

它现在可以正常工作,并且包括使用 PDO 连接到数据库所需的方法。我还切换了语句中使用的 db 用户帐户,因为我了解到最好使用具有有限权限的帐户(只能 SELECT、INSERT 和 UPDATE)以最大程度地减少黑客可能造成的损害。

try { 
      $conn = new PDO('mysql:host=localhost;dbname=dbname', 'Username', 'MyPassword');
      $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

      $stmt = $conn->prepare('INSERT INTO customer_info (fname...) VALUES(:fname...)');
      $stmt->bindParam(':fname', $_POST['fname'], PDO::PARAM_STR);
      $stmt->execute();   
    } catch(PDOException $e) {
  echo $e->getMessage();
}
于 2012-12-12T06:02:10.543 回答