- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在使用 http://www.elated.com/articles/cms-in-an-afternoon-php-mysql/ 学习 PHP到目前为止,这非常有用,但我无法去替换已弃用的 mysql_escape_string
。
我关注了 StackOverFlow 上的现有对话: https://stackoverflow.com/a/20294502/7157496我认为一个可能的解决方案是将 quote() 实现为 $conn->quote($order)
以避免 SQL 注入(inject),但我不知道它应该在代码中发挥作用。
或者您认为 $st = $conn->prepare( $sql );
已经在这里完成了这项工作吗?
public static function getList( $numRows=1000000, $order="publicationDate DESC" ) {
$conn = new PDO( DB_DSN, DB_USERNAME, DB_PASSWORD );
/*$sql = "SELECT SQL_CALC_FOUND_ROWS *, UNIX_TIMESTAMP(publicationDate) AS publicationDate FROM articles
ORDER BY " . mysql_escape_string($order) . " LIMIT :numRows";*/
$sql = "SELECT SQL_CALC_FOUND_ROWS *, UNIX_TIMESTAMP(publicationDate) AS publicationDate FROM articles
ORDER BY " . $order . " LIMIT :numRows";
$st = $conn->prepare( $sql );
$st->bindValue( ":numRows", $numRows, PDO::PARAM_INT );
$st->execute();
$list = array();
while ( $row = $st->fetch() ) {
$article = new Article( $row );
$list[] = $article;
}
最佳答案
所以你的问题是 PDO 只允许绑定(bind)值并使用 PDO::Quote不是一种安全的替代方案,也不是一种有效的替代方案。
Or do you think that $st = $conn->prepare( $sql ); is already doing the job here?
不,它不做这项工作,PDO::prepare 只准备绑定(bind)值,而不是硬编码值。
因为您的 $order
正在获取用户的输入(很容易被操纵),所以最安全的选择是创建一个允许的白名单订单类型数组。如果来自 $order
的输入位于白名单数组中,您就可以继续准备并执行该语句。
编辑:考虑到评论中的链接,这是我对当前代码的替代方案:
<?php
public static function getList( $numRows=1000000, $order="publicationDate DESC" ) {
$conn = new PDO(DB_DSN, DB_USERNAME, DB_PASSWORD);
//Your whitlelist of order bys.
$order_whitelist = array("publicationDate DESC", "publicationDate ASC", etc..);
// see if we have such a name, if it is not in the array then $order_check will be false.
$order_check = array_search($order, $order_whitelist);
if ($order_check !== FALSE)
{
$sql = "SELECT SQL_CALC_FOUND_ROWS *, UNIX_TIMESTAMP(publicationDate) AS publicationDate FROM articles
ORDER BY " . $order . " LIMIT :numRows";
$st = $conn->prepare($sql);
$st->bindValue(":numRows", $numRows, PDO::PARAM_INT);
$st->execute();
$list = array();
while ($row = $st->fetch())
{
$article = new Article($row);
$list[] = $article;
}
}
关于php - 如何用 PDO::quote() 替换 mysql_escape_string,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45521453/
所以我一直在尝试使用 Postgresql + Nginx 使用 CodeIgniter 4 设置 CRUD 我目前将数据库文件设置为。 database.default.database = ign
var quote = 'some text here [[quote=bob]This is some text bob wrote[/quote]] other text here'; 我正在尝试
我需要进行以下类型的正则表达式匹配 例如,如果我有一个字符串 - 一些“这是“样本”数据”示例 我想从上面的字符串中提取“这是“样本”数据”。请给我一个正则表达式,它可以返回我想要的结果 更多详情 我
我需要将以下所有 [quote] 替换为 " 并将 [/quote] 替换为 "字符串: [quote]fgfhfgh [quote] vbbb[/quote]ghhhhjj[/quote] 结果应该
我正在尝试找到以下问题的解决方案,如果有的话。 假设主引号是双引号“(开始)和”(结束)。假设第二个引号是单引号‘(开始)和’(结束)。 想想如何显示引号中的引号。 写引号的标准当然是交替的,像这样。
我有这个带有预写信息的 HTML 代码。我的目标是在我聚焦/单击文本区域后,在黄色背景中突出显示 [quote] [/quote] 之间的文本。 This is a test message. [q
嘿,我有一些格式如下的文本: [quote]foo text[/quote] 我想把它改成这样: foo text 如何用 JS 做到这一点? 我正在使用 jQuery。 最佳答案 应该执行以下操作:
目标是使用 Javascript (vanilla) 删除介于 [quote][/quote] 和 [quote=something][/quote] 之间的所有文本(包括)(不区分大小写).最好也删
我正在使用 Content: Open-quote,我第一次使用它时,它看起来不错,但第二次它是一个单引号,这不是我想要的。这是一个显示问题的 jsfiddle。 https://jsfiddle.n
for /f "delims=" %%a in ('"%systemRoot%\system32\find.exe" /?') do @echo %%a 是的,上一行有效。没有多大用处,但有效。但是尝
可能是个愚蠢的问题,但似乎无法让它发挥作用。我需要用\"替换文本框中的引号,以便正确导出到 excel。我正在尝试: [Note].Text).Replace("\"", "\"") 我做的完全错了吗
有什么区别 和 第一个在 ${expression.value} 周围使用单引号,第二个使用双引号。 最佳答案 没有区别,哪个都好。两者都有效的原因是 " 或 ' 可以在表达式中使用。在这种情况下
我怎样才能像下面的代码那样使用字符串。 $str = 'Is yo"ur name O'reil"ly?'; 上面的代码只是一个例子..我需要使用包含单引号和双引号的大 html 模板。我尝试了 Ad
我的一个项目使用 shlex.quote,它从 python 3.3 开始可用。但是 shlex.quote 与 pipes.quote 相同,后者在移动到 shlex 后已弃用。 现在为了兼容性我正
在ANTLR v4中,我们如何像VBA中那样用双引号转义的双引号解析这种字符串? 对于文本: "some string with ""john doe"" in it" 目标是识别字符串:some s
我正在制作一个Windows批处理文件以运行7zip命令行来压缩一组文件。需要根据文档引用以下脚本中/C后面的部分。问题出在文件路径周围已经有双引号引起了。我是否需要\转义某些引号,使用多余的引号,单
也许你可以帮我在文档中找到它。我使用磅引号能够在执行之前传递未评估的函数名称。例如: (#'cons 1 ()) ;(1) (defn funcrunner [func a b] (func a
我从 CSV 文件中得到了一行,其中 " 作为字段封闭器,, 作为字段分隔符作为字符串。有时数据中有 " 会破坏字段包围。我正在寻找一个正则表达式来删除这些 " 。 我的字符串如下所示: my $cs
我正在尝试以下操作: $stmt = $db->prepare("SELECT * FROM table WHERE date BETWEEN :year-
我有一个从我们网站导出的带有引号 "的 excel 文件,需要用 html 实体替换: " 这个: Dimensions are 7" wide by 5" tall. 需要看起来像: Di
我是一名优秀的程序员,十分优秀!