问题描述
|
我正准备启动一个网站-我从头开始编写的第一个网站。这将是低流量和低调的(可能不会被搜索引擎抓取。)我正在使用PEAR的数据库库及其query()方法的占位符进行存储用户数据,如下:
<?PHP
require_once(\'db.inc\');
$firstname = $_POST[\'firstname\'];
$lastname = $_POST[\'lastname\'];
$rsvp = $_POST[\'rsvp\'];
$mail = $_POST[\'email\'];
$phone = $_POST[\'phone\'];
$lodging = $_POST[\'lodging\'];
$extra = $_POST[\'extra\'];
$msg = $_POST[\'msg\'];
$password = $_POST[\'password\'];
$id = $_POST[\'id\'];
$username = $firstname . \' \' . $lastname;
if (isset($id)) {
$sql = $conn->query(\"UPDATE guest SET username = ?,mail = ?,phone = ?,lodging = ?,extra = ?,msg = ?,role = ?,password = ?,mailed = ? WHERE id = ?\",array($username,$mail,$phone,$lodging,$extra,$msg,2,$password,$id)); //Todo!! set mailed to 1 in production
} else {
$sql = $conn->query(\'INSERT INTO guest (username,password,rsvpstatus,role,mail,phone,lodging,extra,msg,mailed)VALUES (?,?,?)\',$rsvp,1));
}
header(\'location:main.PHP\');
与sql注入相比,这似乎是一个合理的保护级别吗?
解决方法
像您所做的那样,占位符和绑定正是针对sql注入的防御措施。只要您从不直接将任何用户输入内插到sql中,就可以了。
,您可以在PHP中使用mysql_real_escape_string函数(php.net中的view函数)
转义中的特殊字符
unescaped_string,考虑到
当前的字符集
连接,以便安全放置
它在mysql_query()中
例:
$secure_firstname = mysql_real_escape_string( $_POST[\'firstname\'] );
$secure_lastname = mysql_real_escape_string( $_POST[\'lastname\'] );
,只要该库引用并转义其所有参数,就可以了。