要点
我想执行一个 SQL 查询,该查询依赖于我的 GET 中可变数量的参数,而不会受到 SQL 注入(inject)的攻击。</p>
参数
我的 URL 可以这样构成:
https://www.example.com/index.php?param1=blah1,param2=blah2,param3=a,b,c
或者像这样:
https://www.example.com/index.php?param1=blah1,param2=blah2,param3=a,b,c,d,e,f,g
换句话说,param3 可以有可变数量的逗号分隔参数 a、b、c 等。
白名单
我检查以确保 a、b、c 等中的所有参数都正确。在我执行查询之前在批准的白名单中。
// $valid_params is an array of pre-approved parameters.
$arr = explode(',', clean($_GET['param3']));
$params = Array();
foreach($arr as $param){
if(in_array($param, $valid_params)){
array_push($params, $param);
}
}
查询
我这样设置我的数据库连接(使用 MySQL):
$db_connection = new PDO("mysql:host={$DB_HOST};dbname={$DB_NAME}",$DB_USER,$DB_PASS);
$db_connection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$db_connection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
我想执行这样的查询(安全除外):
$comma_separated_params = implode(',',$params);
$result = $db_connection->query("SELECT {$comma_separated_params} FROM some_table");
目标
有谁知道我怎样才能安全有效地做到这一点?
最佳答案
根据您对开销的关注,您可以只SELECT * 然后在 PHP 中过滤数组 - 如果参数从未发送到数据库则没有注入(inject)空间。
然而,这并不是最优雅的解决方案。以下是我的做法:
$comma_separated_params =
implode(
",",
array_map(
function($a) {return "`".$a."`";},
array_intersect(
explode(",",$_GET['param3']),
$valid_params
)
)
)
);
这一行奇迹(为清楚起见添加了换行符)将采用 $_GET['param3'] 变量,将其拆分为逗号,将其与您的有效参数(而不是您的foreach 循环),用反引号包裹每个元素(见下面的注释),最后用逗号将它们粘在一起。
看,反引号允许您使用字面上的任何字符串作为字段名称。通常是允许关键字作为名称,但也可以允许列名带有空格,等等。反引号中唯一有意义的字符是反斜杠和反引号 - 可以安全地假设它们不存在,因为它们必须在您的 $valid_params 列表中才能做到这一点。
关于php - 我怎样才能使这个查询防注入(inject)? (PHP),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12287120/