gpt4 book ai didi

php - 这个可以用SQL注入(inject)吗?

转载 作者:行者123 更新时间:2023-11-29 07:22:08 25 4
gpt4 key购买 nike

我想知道我的代码是否真的受到了 SQL 注入(inject)的保护。我的网站以前曾被注入(inject)过,但我从来没有真正了解如何防止它。这是我插入评论的代码:

if ($_POST['comment']) {
$comment = strip_tags(nl2br(mysql_real_escape_string($_POST['comment'])));
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// set the PDO error mode to exception
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$sql = "INSERT INTO posts (comment, authorid)
VALUES ('$comment', '$uid')";
// use exec() because no results are returned
$conn->exec($sql);
echo '<div style="width: 98%; max-width: 98%; border: 1px solid white; background-color: green; color: white; vertical-align: text-top; text-align: center;">Your comment was added to the wall!</div><br>';
}

最佳答案

是的,它可能会被注入(inject):您似乎没有保护您的 $uid 变量。另外,在转义之后堆叠 nl2brstrip_tags 是一个坏主意 - 您希望将 mysql_real_escape_string 保留为 >最后操作以避免任何过滤器交互影响。

更一般而言,您应该使用准备好的语句(而不是字符串插值)来构建 SQL 查询。它更简单、更高效、更安全并且需要更少的代码。您可以使用 $conn->prepare 创建准备好的语句并使用任意参数执行它:

$stmt = $conn->prepare("INSERT INTO posts (comment, authorid) VALUES (?, ?)");
$stmt->execute(array($comment, $uid));

无需转义。

关于php - 这个可以用SQL注入(inject)吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35760220/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com