我正在使用Jquery Query Builder来创建自定义 SQL 查询。我正在使用 Ajax 将数据发送到服务器并获取结果。
但问题是这个 AJAX 请求可以通过 Inspector Agents 看到。并且有人可以轻松更改查询。
所以我试图找出防止sql注入的方法。这是我的 Javascript 代码:
// Define Query Option
var query_options = {
plugins: [
'bt-checkbox','sortable'
],
filters: [
{
id: 'CITY',
label: 'city',
type: 'string',
input: 'select',
multiple: true,
plugin: 'select2',
plugin_config: {
multiple: "multiple",
data: []
},
operators: ['is_not_null', 'in', 'not_in', 'not_equal'],
valueSetter: function(rule, value) {}
}
]
}
// Get 'Cities' to use it in PHP File
$.get('custom/getCities', function(q_cities) {
if (q_cities.length) {
q_cities.forEach( function(element, index) {
query_options.filters[0].plugin_config['data'].push(element['CITY']);
});
}
}, 'json'),
// Create Query
// @NOTE: This is where Sql injection can be made.
$('#btn-get').on('click', function() {
var result = $('#builder-basic').queryBuilder('getSQL');
var query = result.sql;
if (!$.isEmptyObject(result)) {
$.ajax
({
url: 'custom/customquery',
// This part is vulnerable to Sql injections.
data: { query: query },
type: 'post',
dataType: "HTML",
success: function(o)
{
if (o.length) {
console.log(o);
}
}
});
}
});
这是我的 PHP 代码:
// Server Side PHP script
public function customquery()
{
if(isset($_POST['query'])){
$query = $_POST['query'];
}
$qry = "SELECT * FROM MYTABLE WHERE " . $query;
$result = $this->db->select($qry);
echo json_encode($result);
}
我知道有一些方法可以防止AJAX Sql 注入,但是我找不到特定 Condition 的任何答案,例如Jquery Query Builder。
提前致谢。