2

我正在使用Jquery Query Builder来创建自定义 SQL 查询。我正在使用 Ajax 将数据发送到服务器并获取结果。

但问题是这个 AJAX 请求可以通过 Inspector Agents 看到。并且有人可以轻松更改查询。

所以我试图找出防止sql注入的方法。这是我的 Javascript 代码:

// Define Query Option
var query_options = {
plugins: [
'bt-checkbox','sortable'
],
filters: [
{
    id: 'CITY',
    label: 'city',
    type: 'string',
    input: 'select',
    multiple: true,
    plugin: 'select2',
    plugin_config: {
      multiple: "multiple",
      data: []
    },
    operators: ['is_not_null', 'in', 'not_in', 'not_equal'],
    valueSetter: function(rule, value) {}
  }
]
}

// Get 'Cities' to use it in PHP File
$.get('custom/getCities', function(q_cities) {
  if (q_cities.length) {
    q_cities.forEach( function(element, index) {
      query_options.filters[0].plugin_config['data'].push(element['CITY']);
    });
  }
}, 'json'),


// Create Query
// @NOTE: This is where Sql injection can be made.
$('#btn-get').on('click', function() {
    var result = $('#builder-basic').queryBuilder('getSQL');
    var query = result.sql;
    if (!$.isEmptyObject(result)) {
    $.ajax
    ({ 
      url: 'custom/customquery',
      // This part is vulnerable to Sql injections.
      data: { query: query },
      type: 'post',
      dataType: "HTML",
      success: function(o)
      {
        if (o.length) {
            console.log(o);
        }
      }
    });
    }
});

这是我的 PHP 代码:

// Server Side PHP script
public function customquery()
{
    if(isset($_POST['query'])){
        $query = $_POST['query'];
    }

    $qry = "SELECT * FROM MYTABLE WHERE " . $query;
    $result = $this->db->select($qry);
    echo json_encode($result);
}

我知道有一些方法可以防止AJAX Sql 注入,但是我找不到特定 Condition 的任何答案,例如Jquery Query Builder

提前致谢。

4

0 回答 0