如何准备 SQL 动态查询(也包括列名)避免 SQL 注入
How to prepare SQL query dynamically (column names too) avoiding SQL injection
我最近了解了 SQL 注入和 PHP 避免它的建议,使用 prepare()
和 bind_param()
。
现在,我想动态准备 SQL 查询,同时添加列名和值。
我以前是这样做的,HTML 输入的 name
字段与 MySQL 数据库列同名。
<input type="text" name="firstname" >
<input type="text" name="lastname" >
然后,使用 mysqli 动态创建 SQL 查询。
// Extract values from POST
$parameters = $_POST;
// Organize the values in two strings
foreach ($parameters as $id => $value) {
$fields = $fields . "`" . $id . "`,";
$values = $values . "'" . $value . "',";
/*e.g.
$fields = `firstname`,`lastname`
$values = 'John','Wick'
*/
}
// Write into the database
$sql = "INSERT INTO `user` ($fields) VALUES ($values)";
/*e.g.
INSERT INTO `user` (`firstname`,`lastname`) VALUES ('John','Wick')
*/
我想知道是否有办法使用 prepare()
和 bind_param()
来避免 SQL 注入,可能会添加一些 data-type="s"
HTML 输入标签,或者如果有更好、更多的最佳实践方法。
我注意到你在问题中包含了 mysqli 标签,所以假设你的数据库是 MySQL 并且你正在使用本机 MySQL 函数,那么你可以这样做:
$stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
mysqli_stmt_bind_param($stmt, 'sssd', $code, $language, $official, $percent);
$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;
/* execute prepared statement */
mysqli_stmt_execute($stmt);
您只能将绑定参数用于常量值元素——带引号的字符串、带引号的日期时间或数字文字。
您不能将参数占位符用于 SQL 中的任何其他内容,例如列名、table 名称、值列表、SQL 关键字或表达式或其他语法.
如果您需要使列名动态化,唯一的选择是根据已知列的列表对其进行验证。
$columns_in_user_table = [
'userid'=>null,
'username'=>'',
'firstname'=>'',
'lastname'=>''
];
// Extract values from POST, but only those that match known columns
$parameters = array_intersect_key($_POST, $columns_in_user_table);
// Make sure no columns are missing; assign default values as needed
$parameters = array_merge($columns_in_user_table, $parameters);
如果你使用PDO而不是mysqli,你可以跳过绑定。只需使用命名参数,并将列值对的关联数组直接传递给 execute()
:
$columns = [];
$placeholders = [];
foreach ($parameters as $col => $value) {
$columns[] = "`$col`";
$placeholders[] = ":$col";
}
$column_list = implode($columns, ',');
$placeholder_list = implode($placeholders, ',');
// Write into the database
$sql = "INSERT INTO `user` ($column_list) VALUES ($placeholder_list)";
$stmt = $pdo->prepare($sql);
$stmt->execute($parameters);
我最近了解了 SQL 注入和 PHP 避免它的建议,使用 prepare()
和 bind_param()
。
现在,我想动态准备 SQL 查询,同时添加列名和值。
我以前是这样做的,HTML 输入的 name
字段与 MySQL 数据库列同名。
<input type="text" name="firstname" >
<input type="text" name="lastname" >
然后,使用 mysqli 动态创建 SQL 查询。
// Extract values from POST
$parameters = $_POST;
// Organize the values in two strings
foreach ($parameters as $id => $value) {
$fields = $fields . "`" . $id . "`,";
$values = $values . "'" . $value . "',";
/*e.g.
$fields = `firstname`,`lastname`
$values = 'John','Wick'
*/
}
// Write into the database
$sql = "INSERT INTO `user` ($fields) VALUES ($values)";
/*e.g.
INSERT INTO `user` (`firstname`,`lastname`) VALUES ('John','Wick')
*/
我想知道是否有办法使用 prepare()
和 bind_param()
来避免 SQL 注入,可能会添加一些 data-type="s"
HTML 输入标签,或者如果有更好、更多的最佳实践方法。
我注意到你在问题中包含了 mysqli 标签,所以假设你的数据库是 MySQL 并且你正在使用本机 MySQL 函数,那么你可以这样做:
$stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
mysqli_stmt_bind_param($stmt, 'sssd', $code, $language, $official, $percent);
$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;
/* execute prepared statement */
mysqli_stmt_execute($stmt);
您只能将绑定参数用于常量值元素——带引号的字符串、带引号的日期时间或数字文字。
您不能将参数占位符用于 SQL 中的任何其他内容,例如列名、table 名称、值列表、SQL 关键字或表达式或其他语法.
如果您需要使列名动态化,唯一的选择是根据已知列的列表对其进行验证。
$columns_in_user_table = [
'userid'=>null,
'username'=>'',
'firstname'=>'',
'lastname'=>''
];
// Extract values from POST, but only those that match known columns
$parameters = array_intersect_key($_POST, $columns_in_user_table);
// Make sure no columns are missing; assign default values as needed
$parameters = array_merge($columns_in_user_table, $parameters);
如果你使用PDO而不是mysqli,你可以跳过绑定。只需使用命名参数,并将列值对的关联数组直接传递给 execute()
:
$columns = [];
$placeholders = [];
foreach ($parameters as $col => $value) {
$columns[] = "`$col`";
$placeholders[] = ":$col";
}
$column_list = implode($columns, ',');
$placeholder_list = implode($placeholders, ',');
// Write into the database
$sql = "INSERT INTO `user` ($column_list) VALUES ($placeholder_list)";
$stmt = $pdo->prepare($sql);
$stmt->execute($parameters);