php - 由于名称的 pg_query 错误：'kill 'em all'

Question

pg_query 在 name = ' Kill 'em all ' 的情况下无法执行，错误指向“em”之前的“'”，这是问题，但我找不到解决方案。

$query = "INSERT INTO order (foodid,name) VALUES ($food_id,'$food')";
$result = pg_query($conn,$query) or die("Query cannot be executed");

score 1 · Accepted Answer

现在你正在传递字符串

INSERT INTO order (foodid,name) VALUES (1,' Kill 'em all')

到 postgresql 服务器，它没有机会确定 ' in'em是字符串文字的一部分，而不是它的分隔符。
您必须确保您的有效负载参数不会“破坏” sql 语句。

您可以通过对字符串文字使用适当的编码/转义函数将有效负载直接放入 sql 语句中来做到这一点

// <--- test whether $food_id contains only digits here, e.g. via ctype_digit
$query = sprintf('
    INSERT INTO
        order (foodid,name)
    VALUES
        (%s,%s)',
    $food_id, pg_escape_literal($conn, $food)
);

$result = pg_query($conn,$query) or die("Query cannot be executed");

或使用准备好的语句 + 参数，实际上将实际的 sql 语句与有效负载数据分开：

// Prepare a query for execution
$result = pg_prepare($conn, '', '
    INSERT INTO
        order (foodid,name)
    VALUES
        ($1,$2)
');
if ( !$result ) {
    yourErrorHandler();
}
$result = pg_execute($conn, '', array($food_id, $foo));
if ( !$result ) {
    yourErrorHandler();
}

另见： http: //php.net/security.database.sql-injection

php - 由于名称的 pg_query 错误：'kill 'em all'

1 回答 1

Related

Reference