0

在我的应用程序 (PHP) 中,我将从 API 请求约 3000 行,并使用 PDO 驱动程序将这些行插入 MySQL 表中。

虽然要插入的数据不是用户输入,但数据如何交给我却不在我的掌控之中。

因为〜3000插入尽可能快是很重要的,所以我想像这样使用多个插入(?,?,?),(?,?,?),...

我想知道进行多次插入是否会影响 MySQL 注入的漏洞?因为我使用 PHP 代码“构建”查询。

我的“测试”代码是:

<?php

    class DBCon {
        private static $instance = null;
        private $db;

        private function __construct() {
            $this->db = new PDO('mysql:host=localhost;dbname=test;charset=utf8mb4', 'root', '');
            $this->db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
            $this->db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
        }

        public static function getDB() {
            if (self::$instance === null) {
                self::$instance = new self();
            }
            return self::$instance->db;
        }
    }

    function createItems($array) {
        $sql = 'INSERT INTO `table`(`text`, `int`, `bool`) VALUES ';

        $insertArray = array();
        foreach ($array as $arrayItem) {
            $sql .= '(';
            foreach ($arrayItem as $arrayItemItem) {
                array_push($insertArray, $arrayItemItem);
                $sql .= '?,';
            }
            $sql = rtrim($sql, ',');
            $sql .= '),';
        }
        $sql = rtrim($sql, ',');

        var_dump($sql);
        var_dump($insertArray);

        try {
            $query = DBCon::getDB()->prepare($sql);
            $query->execute($insertArray);
        } catch (PDOException $e) {
            echo '<br/><br/>query failure';
        }
    }

    $array = array(array('a piece of text',123,0),array('a piece of text',123,0));

    createItems($array);

$sql包含:

index.php:36:string 'INSERT INTO `table`(`text`, `int`, `bool`) VALUES (?,?,?),(?,?,?)' (length=65)

$insertArray包含:

index.php:37:
array (size=6)
  0 => string 'a piece of text' (length=15)
  1 => int 123
  2 => int 0
  3 => string 'a piece of text' (length=15)
  4 => int 123
  5 => int 0
4

2 回答 2

2

我想知道进行多次插入是否会影响 MySQL 注入的漏洞?因为我使用 PHP 代码“构建”查询。

好吧,在现实生活中,我们无法避免手动构建查询,因此可以动态创建一两个查询。在这种情况下,您必须遵循的唯一规则是所有查询部分都必须在您的脚本中进行硬编码

只要遵循它,就不可能进行任何注射。

在您的情况下,所有查询部分都是硬编码的,因此此代码是安全的。

于 2016-04-14T11:16:19.557 回答
1

只要这些值由 PDO 参数化查询处理,它就会逃避任何尝试的注入。

https://stackoverflow.com/a/134138

如果您不使用 PDO,那么您需要确保所有数据都正确转义,这是很多工作。

要查看 MySQL 服务器实际执行的查询,您可以按照以下说明设置常规日志: https ://stackoverflow.com/a/2413308

于 2016-04-14T10:51:16.703 回答