标签：php sql mysql code-injection

在停止使用已弃用的mysql_ *函数后,我切换到了mysqli.但后来,我注意到非预处理语句对SQL注入是不安全的.然后,我再次更改了我的代码.

我所拥有的是以下函数,它检查数据库中是否存在变量$ID,并打印该行的title值：

function showPostTitle($ID, $mysqli) {
    $result = $mysqli -> query("SELECT ID, title FROM blog where ID = $ID");
    $row = $result -> fetch_array(MYSQLI_BOTH);
    echo $row['title'];
}

我改成了这个：

function showPostTitle($ID, $mysqli) {
    $stmt = $mysqli -> prepare("SELECT ID, title FROM blog WHERE ID = ?");
    $stmt -> bind_param("i", $ID);
    $stmt -> execute();
    $stmt -> bind_result($ID, $title);
    $stmt -> fetch();
    print_r($title);
    $stmt -> free_result();
}

我的问题是：这是实施准备好的陈述的正确方法吗？另外,我现在从SQL注入安全吗？非常感谢谁回答这个问题:)

解决方法:

你的mysqli逻辑似乎很好,PHP manual here中有一些例子,以防你没有看到它们.

为什么不在消费时选择ID呢？当你只想在完整结果集中返回一行时,你真的不需要绑定结果,因为我认为在这种情况下会发生(ID是表中的唯一索引),而是使用get_result.

使用mysqli prepare可以防止所有常见的注入攻击,但不能使用0天的样式,而这些攻击尚未成为驱动程序.

标签：php,sql,mysql,code-injection
来源： https://codeday.me/bug/20190901/1782780.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。