- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在用 PHP 构建一个自定义 CMS,我想到了从数组生成 MySQL。我猜这不是最安全的做法,因为我会将变量直接放入准备好的语句中。我希望更有经验的人可以看看我到目前为止所做的事情,并让我了解如何使它更安全。
这是我在其中存储所有数据操作方法的类
abstract class MySQLData extends MySQLDataHelper {
// connection to database
abstract public function getConn();
// table name from concrete class
abstract public function getTable();
public function insert( $args ) {
try {
$stmt = $this->getConn()->prepare( $this->generateInsertSQL( $args ) );
foreach ($args as $arg => &$value) {
$stmt->bindParam(":{$arg}", $value);
}
$stmt->execute();
} catch (PDOException $e) {
echo "Insert error: " . $e->getMessage();
}
}
//............................................
// More methods below, including delete, select and update, but lets focus on 'insert' only to keep things simple.
}
辅助方法类,包括插入SQL生成器
abstract class MySQLDataHelper {
public function generateInsertSQL( $args ) {
$columns = array_keys( $args );
$placeholders = implode(', :', $columns);
$columns = implode(', ', $columns);
return "INSERT INTO `{$this->getTable()}` ({$columns}) VALUES (:{$placeholders})";
}
}
示例用例
require_once 'core/Pages.php';
$pages = new Pages( $db->conn() ); // Pages extends MySQLData
$args = array(
'name' => 'New page',
'content' => 'Lorem ipsum dolor sit amet, consectetur adipisicing elit. Quisquam, laboriosam!',
'enabled' => true);
$pages->insert( $args );
请注意,在这种情况下,generateInsertSQL 的输出将是:
INSERT INTO `pages` (name, content, enabled) VALUES (:name, :content, :enabled)
提醒一下,这段代码工作得很好,我只是想知道它是否可以变得更安全。
谢谢。如果这是一个不好的问题或在错误的地方,我很抱歉。
最佳答案
这是一个社区维基答案。任何人都可以编辑它以加入进来。
绑定(bind)变量解决的问题是这样的:SQL 是一种语言,当您通过插入数据(就好像它是文本)来用该语言组装语句时,您就为不受信任的人提供了一种扩充您的 SQL 程序的方法。
因此,您必须努力对所有内容进行 sanitizer 。例如,如果您正在做这种事情:
id IN (4 5,6,7)
确保所有数字实际上都是数字并不难。但是你必须每次都这样做,不能失败,否则就会被打败。另一方面,如果你正在做
name IN ('cyanographics', 'Rocket Hazmat', 'Fred -ii-1')
然后有人给你一个恶意的用户名——想想
cyano'); DELETE FROM TABLE USER CASCADE CONSTRAINTS; //
你最终要求你的 SQL 语言解释器来运行它。
name IN ('cyano'); DELETE FROM TABLE users CASCADE CONSTRAINTS; //', 'Rocket Hazmat', 'Fred -ii-1')
这种事情可能会使您的应用程序变得一团糟。
因此,您需要仔细考虑如何净化文本输入。您可以考虑使用类似 PDO::quote() 的内容来清理您的文本字符串.它在字符串中的危险字符(如 '
)周围放置转义序列。
但是你看,你最好使用 PDO 中的内置绑定(bind)变量支持,即使处理你想要处理的列表变得更难。
阅读:What are the best PHP input sanitizing functions?
此外,不要忘记考虑浏览器脚本注入(inject)。如果你得到了这个名字怎么办
<script>alert('You are pwned, sucka!');</script>
还是更糟?您也需要从输入中清除这些东西。
关于php - 需要帮助使 PDO 准备好的语句更安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32527932/
我有一个功能是转换 ADO Recordset 进入html: class function RecordsetToHtml(const rs: _Recordset): WideString; 该函
经过几天的研究和讨论,我想出了这种方法来收集访客的熵(你可以看到我的研究历史here) 当用户访问时,我运行此代码: $entropy=sha1(microtime().$pepper.$_SERVE
给定一个无序列表 List ,我需要查找是否存在 String与提供的字符串匹配。 所以,我循环 for (String k : keys) { if (Utils.keysM
我已经搜索过这个问题,但没有找到我正在寻找的答案。 基本上,我想将类构造函数包装在 try/except 子句中,以便它忽略构造函数内特定类型的错误(但无论如何都会记录并打印它们)。我发现做到这一点的
我有一组三个数字,我想将一组数字与另一组数字进行比较。即,第一组中的每个数字小于另一组中的至少一个数字。需要注意的是,第一组中的下一个数字必须小于第二组中的不同数字(即,{6,1,6} 对 {8,8,
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题吗? Update the question所以它是on-topic用于堆栈溢出。 关闭 9 年前。 Improve this
首先介绍一下背景: 我正在开发一个带有 EJB 模块和应用程序客户端模块的企业应用程序 (ear)。我还使用 hibernate JPA 来实现持久性,并使用 swingx 来实现 GUI。这些是唯一
我正在尝试在我的上网本上运行 Eclipse 以便能够为 Android 进行开发。 您可能已经猜到了,Eclipse 非常慢,并且不容易有效地开发。 我正在使用 Linux Ubuntu 并且我还有
for row, instrument in enumerate(instruments): for col, value in enumerate(instrument):
return not a and not b ^ 我如何以更好的格式表达它 最佳答案 DeMorgan's Law , 也许? return not (a or b) 我认为在这一点上已经足够简单了
我正在尝试让 Font Awesome 图标看起来更 slim https://jsfiddle.net/cliffeee/7L6ehw9r/1/ . 我尝试使用“-webkit-text-strok
假设我有一个名为 vals 的数据框,如下所示: id…………日期…………min_date…… .........最大日期 1…………2016/01/01…………2017/01/01…………2018/
是否有更 Pythonic 的方式来做到这一点?: if self.name2info[name]['prereqs'] is None: se
我有一个函数可以将一些文本打印到它接收到的 ostream&。如果 ostream 以终端为目标,我想让它适应终端宽度,否则默认为某个值。 我现在做的是: 从 ostream 中获取一个 ofstre
这个问题在这里已经有了答案: Should a retrieval method return 'null' or throw an exception when it can't produce
我有这个 bc = 'off' if c.page == 'blog': bc = 'on' print(bc) 有没有更 Pythonic(和/或更短)的方式在 Python 中编写? 最佳
输入:一个包含 50,000 行的 CSV;每行包含 910 列值 0/1。 输出:运行我的 CNN 的数据框。 我编写了一个逐行读取 CSV 的代码。对于每一行,我将数据分成两部分,称为神经元(90
据我所知,with block 会在您退出 block 后自动调用 close(),并且它通常用于确保不会忘记关闭一个文件。 好像没有技术上的区别 with open(file, 'r+') as f
我有一个使用 Entity Framework V6.1.1 的 MVC 5 网站。 Entity Framework DbContext 类和模型最初都在网站项目中。这个项目有 3 个 DbCont
我是编程新手,在尝试通过将 tableView 和关联 View 的创建移动到单独的类并将委托(delegate)和数据源从 VC 移动到单独的类来精简我的 ViewController 时遇到了一些
我是一名优秀的程序员,十分优秀!