php - 使用 quoteInto 之后，我可以免受 SQL 注入(inject)攻击吗？

Question

你好，我在下面的查询中使用 quoteInto

 $select->from('users')
 ->where($adapter->quoteInto('eu.username LIKE ?',"%".$param['name']."%"));

当我传递任何类似 'or -1=-1' 或类似想法的东西时

 ' or 1=1--
 ' or 1--
 ' or 1
 \" or '1'
 ' or 1=1--
 ' OR ''='
 ' or 'a'='a
  ') or ('a'='a
'; exec master..xp_cmdshell 'ping 10.10.1.2'--
 ';

当我回显我的查询时，所有这些东西都放在我查询的 LIKE 子句中。我只想问，在引用我的查询后，我的查询是安全的，不会受到 sql 注入(inject)的影响吗？

Answer 1

是的，通过使用数据库适配器引用函数，您可以免受 SQL 注入(inject)攻击。

当您使用 quoteInto 时，Zend 将调用 Zend_Db_Adapter::quote方法来转义值字符串。

From Zend Docs:
The quote() method accepts a single argument, a scalar string value. It returns the value with special characters escaped in a manner appropriate for the RDBMS you are using, and surrounded by string value delimiters.

为了使您的应用程序更安全，您还应该将 Zend_Form 与利用可用元素的元素一起使用 Zend Filters和 Zend Validators .元素验证将发现问题并避免垃圾数据库调用，过滤器将清理您的数据!