1

我一直在搞乱我的搜索页面。我添加了mysqli_real_escape_stringand strip_tags,据我所知,一切正常,应该是安全的。

我只是想在搜索表单中输入随机符号,看看是否仍然可以在这些安全措施到位的情况下找到我的所有数据库条目。一切都很好,除了当我搜索单引号 ( ') 时。

这给了我“mysqli_num_rows() 期望参数 1 是 mysqli_result, boolean given”错误。有很多关于该错误的信息,我知道如何解决它(至少我是这么认为的)。但是,在这种特殊情况下,我不知道:/

编码:

ini_set('display_errors', 1);
$search = $_GET ['q'];
$conn = mysqli_connect("localhost", "root", "","release");
$search = mysqli_real_escape_string($conn, "$search");
$search = stripslashes(strip_tags(trim("$search")));

$query = mysqli_query($conn,"SELECT * FROM game WHERE game_name LIKE '%". $search ."%' ORDER BY game_release");
$count = mysqli_num_rows($query);
4

1 回答 1

1

您应该mysqli_real_escape_string在最后使用,就在您在数据库查询中注入变量之前,尽管首选语句是准备好的。就我而言,更容易。

您当前的问题不是您不能使用 just 来完成mysqli_real_escape_string,而是您使用的功能的组合和顺序:

$search = mysqli_real_escape_string($conn, "$search");
$search = stripslashes(strip_tags(trim("$search")));

您正在转义第一行中 mysql 值的特殊字符。这是通过添加斜线来完成的。

在第二行中,您删除斜线,撤消转义mysqli_real_escape_string并使您的查询容易受到 sql 注入的攻击。

就 sql 语句的安全性而言,mysqli_real_escape_string就足够了,因此您只需要一个准备好的语句或:

$search = mysqli_real_escape_string($conn, $search);

其余部分是不必要的,但如果您想以任何方式这样做(例如,如果不允许使用标签),您应该将该行移到最终转义行的上方:

$search = stripslashes(strip_tags(trim($search)));
$search = mysqli_real_escape_string($conn, $search);

// and now run your query without further manipulation:
$query = mysqli_query(...);
于 2015-04-18T07:56:38.173 回答