要逃避反引号,您必须将其加倍。这是我班上的一个函数
private function escapeIdent($value)
{
if ($value)
{
return "`".str_replace("`","``",$value)."`";
} else {
$this->error("Empty value for identifier (?n) placeholder");
}
}
//example:
$db->query("UPDATE users SET ?u=?s", $_POST['field'], $_POST['value']);
因此,它将创建一个语法正确的标识符。
但最好将其列入白名单,因为可能有一个字段,尽管名称正确,但用户没有访问权限。(因此,从这个角度来看,基于模式的解决方案仍然很危险。想象一下,我的示例中有一个role带有查询值的字段)
我的类中有 2 个用于此目的的函数,它们都接受一个允许值的数组。admin
由于查询生成器的工作方式,我很遗憾不能使用准备好的语句。我怎样才能解决这个问题?
如果您不能使用查询参数,请更改查询构建器以将转义应用于其参数,然后再将它们插入 SQL 表达式。
很多人正确地提倡查询参数,但如果你正确且一致地进行转义,转义也是安全的。
参照。mysqli::real_escape_string()
回复你的评论,好吧,我知道你要去哪里。我很困惑,因为您说的是“行名”,而这不是正确的术语。您必须指的是列名。
是的,你是对的,任何 MySQL API 中都没有函数可以正确转义表或列标识符。转义函数仅适用于字符串文字和日期文字。
当不受信任的输入命名表或列时,保护 SQL 查询的最佳方法是使用白名单。也就是说,针对已知表名或列名列表测试参数,您可以手动编码,也可以从DESCRIBE table.
请参阅我过去的答案中的白名单示例: