问题描述
我正在我的 Cake PHP 2.10 应用程序中执行 sql 查询,需要插入从另一个查询中检索到的值。我一直在阅读 Cake 2 的 docs 并发现了这个注释:
如果您使用此方法,请确保使用数据库驱动程序上的 value() 方法正确转义所有参数。未能转义参数将产生 sql 注入漏洞。
我似乎找不到 value()
方法,所以选择使用 PHP 提供的 htmlspecialchars
函数。
鉴于我的值是从另一个查询中获取的,值格式错误或被篡改的风险非常低,这样可以吗?
我还能如何转义我的字符串以确保它不会混淆查询?
$redirection_key = $this->request->query['r'];
$redirect = $this->Redirect->findByRedirectionKey($redirection_key);
$appID = htmlspecialchars($redirect['Redirect']['application_id']);
$applicationPayday = $this->Application->query("SELECT * FROM tlp_applications WHERE id = $appID");
$appID
在这种情况下还好吗?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)