php - 我怎样才能使这个查询防注入(inject)？ (PHP)

Question

要点

我想执行一个 SQL 查询，该查询依赖于我的 GET 中可变数量的参数，而不会受到 SQL 注入(inject)的攻击。<​​/p>

参数

我的 URL 可以这样构成:

https://www.example.com/index.php?param1=blah1,param2=blah2,param3=a,b,c

或者像这样:

https://www.example.com/index.php?param1=blah1,param2=blah2,param3=a,b,c,d,e,f,g

换句话说，param3 可以有可变数量的逗号分隔参数 a、b、c 等。

白名单

我检查以确保 a、b、c 等中的所有参数都正确。在我执行查询之前在批准的白名单中。

// $valid_params is an array of pre-approved parameters.
$arr = explode(',', clean($_GET['param3']));
$params = Array();
foreach($arr as $param){
  if(in_array($param, $valid_params)){
    array_push($params, $param);
  }
}

查询

我这样设置我的数据库连接(使用 MySQL):

$db_connection = new PDO("mysql:host={$DB_HOST};dbname={$DB_NAME}",$DB_USER,$DB_PASS);
$db_connection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$db_connection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

我想执行这样的查询(安全除外):

$comma_separated_params = implode(',',$params);
$result = $db_connection->query("SELECT {$comma_separated_params} FROM some_table");

目标

有谁知道我怎样才能安全有效地做到这一点？

Answer 1

根据您对开销的关注，您可以只SELECT * 然后在 PHP 中过滤数组 - 如果参数从未发送到数据库则没有注入(inject)空间。

然而，这并不是最优雅的解决方案。以下是我的做法:

$comma_separated_params =
  implode(
    ",",
    array_map(
      function($a) {return "`".$a."`";},
      array_intersect(
        explode(",",$_GET['param3']),
        $valid_params
      )
    )
  )
);

这一行奇迹(为清楚起见添加了换行符)将采用 $_GET['param3'] 变量，将其拆分为逗号，将其与您的有效参数(而不是您的foreach 循环)，用反引号包裹每个元素(见下面的注释)，最后用逗号将它们粘在一起。

看，反引号允许您使用字面上的任何字符串作为字段名称。通常是允许关键字作为名称，但也可以允许列名带有空格，等等。反引号中唯一有意义的字符是反斜杠和反引号 - 可以安全地假设它们不存在，因为它们必须在您的 $valid_params 列表中才能做到这一点。