我在网站上有 2 个页面,一个是 index.php,索引页面列出了数据库中存在的所有帖子,另一个页面是 post.php,当点击索引页面上的特定帖子时,帖子页面显示单个帖子。
现在我用来列出 index.php 上所有帖子的代码是:
$postslist = mysqli_query($db, "SELECT * FROM posts");
while ($post = mysqli_fetch_array($postlist)) {
echo '<a href="' .SITEURL.'/post.php?p='.$post['postid'].'>'.$post['title'].'</a>';
}
这行得通,我的所有帖子都显示在我的 index.php 页面上,链接链接到 post.php 页面上。
在 post.php 页面上我使用了这样的代码:
if(!isset($_GET['p'])){
echo 'Dont load this page directly';
}
else {
$id = $_GET['p'];
$querypost = mysqli_query($conn,
"SELECT *
FROM posts
WHERE postid='$id'");
$data = mysqli_fetch_array($querypost);
echo '<h3>' . $data['title'] . '</h3>';
}
这工作正常并检索具有该 ID 的帖子,但我已经在 stackoverflow 上阅读了一些教程和帖子,这可能有点不安全,建议使用这样的代码只是为了确保数据库使用安全
if(!isset($_GET['p'])){
echo 'Dont load this page directly';
}
else {
$id = $_GET['p'];
$id = mysqli_real_escape_string($id);
$querypost = mysqli_query($conn,
"SELECT *
FROM posts
WHERE postid='$id'");
$data = mysqli_fetch_array($querypost);
echo '<h3>' . $data['title'] . '</h3>';
}
但这会抛出一个错误,如果 postid 存在,它是否足够安全,如果它存在,我如何确保它安全?
问题的第二部分
编辑:好吧,我已经开始搜索你们发布的方法,几个小时后我让它与 mysqli_prepare 一起工作,但是将它用于 post.php 相当容易,因为它只连接到 posts 表并从中提取所有数据一个基于帖子 ID 的表格。
但是当我在不同的页面上尝试相同的方法时,这变成了一个相当大的解决方案。
在第二页上,我必须从 5 个不同的表中提取数据,这些表使用 LEFT JOIN 连接到表中特定列的特定 ID 的所有匹配项,这就是仅使用 3 个表的结果。
$stmt = mysqli_prepare($conn,
"SELECT *
FROM giveaways
INNER JOIN members
ON giveaways.creator = members.steamID
INNER JOIN sc_steamgames
ON giveaways.gameid = sc_steamgames.appid
WHERE giveawayID=?");
mysqli_stmt_bind_param($stmt, "i", $id);
mysqli_stmt_execute($stmt);
mysqli_stmt_bind_result($stmt, $id, $creator, $comment, $tcreated, $tstarting, $tfinish, $provider, $type, $gameid, $memberid, $steamid, $username, $profileurl, $avatar, $avatarmed, $avatarbig, $steamgames, $regdate, $verified, $coins, $gold, $points, $appid, $title, $storeprice, $valuedprice, $pointsworth);
mysqli_stmt_fetch($stmt);
echo $creator .' - '. $comment . ' - '. $gameid . ' - ' .$title.' - '.($storeprice /100) ;
mysqli_stmt_close($stmt);
这工作正常,但您可以看到它有 3 个表变得有多大,我需要从另外 2 个表中提取信息,所以我想知道这是否真的是您会使用的解决方案?
另一个问题,如果用户必须浏览具有静态值的页面,例如
index.php?go=upcoming
我是否还需要使用更多安全性或像现在一样使用它
if(isset($_GET['go']) && $_GET['go'] == 'upcoming')
是否足够安全?因为有已知的 go 值(value)和期望。
最佳答案
它抛出一个错误,因为 mysqli_real_escape_string需要两个参数,第一个是连接 $conn。
如果您这样做,它应该足够安全,但最好使用参数化查询。例如:
$stmt = mysqli_prepare($conn, "SELECT cols FROM posts WHERE postid = ?");
mysqli_stmt_bind_param($stmt, 'i', $id);
检查 id 是否存在于数据库中根本无法防止注入(inject),因为您必须在查询首先进行检查。
关于php - 验证数据库匹配中的 $_GET id 是否足够安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19551392/