在模型中使用 sql 时如何防止在 Phalcon PHP 中注入 SQL?
How to prevent SQL injection in PhalconPHP when using sql in model?
假设我正在构建一个搜索,以查找所有教师并获得用户可以输入搜索词的输入。我试着阅读 phalcon 文档,但我只看到绑定参数之类的东西。我读了另一个关于需要准备语句的帖子,我在 Phalcon 中也需要吗?
我在模型中的函数是这样的:
public function findTeachers($q, $userId, $isUser, $page, $limit, $sort)
{
$sql = 'SELECT id FROM tags WHERE name LIKE "%' . $q . '%"';
$result = new Resultset(null, $this,
$this->getReadConnection()->query($sql, array()));
$tagResult = $result->toArray();
$tagList = array();
foreach ($tagResult as $key => $value) {
$tagList[] = $value['id'];
....
}
}
我的问题是关于 Phalcon 框架是否有我应该为这一行编码的任何设置或格式 $sql = 'SELECT id FROM tags WHERE name LIKE "%' . $q . '%"';
以及任何防止 SQL 在 PhalconPHP 控制器和索引中注入的一般性建议,我们将不胜感激。
供参考:
我的控制器:
public function searchAction()
{
$this->view->disable();
$q = $this->request->get("q");
$sort = $this->request->get("sort");
$searchUserModel = new SearchUsers();
$loginUser = $this->component->user->getSessionUser();
if (!$loginUser) {
$loginUser = new stdClass;
$loginUser->id = '';
}
$page = $this->request->get("page");
$limit = 2;
if (!$page){
$page = 1;
}
$list = $searchUserModel->findTeachers($q, $loginUser->id, ($loginUser->id)?true:false, $page, $limit, $sort);
if ($list){
$list['status'] = true;
}
echo json_encode($list);
}
我的Ajax:
function(cb){
$.ajax({
url: '/search/search?q=' + mapObject.q + '&sort=<?php echo $sort;?>' + '&page=' + mapObject.page,
data:{},
success: function(res) {
//console.log(res);
var result = JSON.parse(res);
if (!result.status){
return cb(null, result.list);
}else{
return cb(null, []);
}
},
error: function(xhr, ajaxOptions, thrownError) {
cb(null, []);
}
});
q 是用户的搜索词。
Phalcon\Filter 在与数据库交互时很有帮助。
在你的控制器中,你可以说,从 $q 中删除除字母和数字之外的所有内容。
$q = $this->request->get("q");
$q = $this->filter->sanitize($q, 'alphanum');
您应该绑定查询参数以避免 SQL 注入。据我所知,Phalcon 将 '%' 通配符放在 conditions
值中可能有点有趣,所以我将它们放在 bind
.
中
这比仅仅过滤查询要好。
$tags = Tags::find([
'conditions' => 'name LIKE :name:',
'bind' => [
'name' => "%" . $q . "%"
]
])
请求的最短路径:
$q = $this->request->get('q', 'alphanum');
假设我正在构建一个搜索,以查找所有教师并获得用户可以输入搜索词的输入。我试着阅读 phalcon 文档,但我只看到绑定参数之类的东西。我读了另一个关于需要准备语句的帖子,我在 Phalcon 中也需要吗?
我在模型中的函数是这样的:
public function findTeachers($q, $userId, $isUser, $page, $limit, $sort)
{
$sql = 'SELECT id FROM tags WHERE name LIKE "%' . $q . '%"';
$result = new Resultset(null, $this,
$this->getReadConnection()->query($sql, array()));
$tagResult = $result->toArray();
$tagList = array();
foreach ($tagResult as $key => $value) {
$tagList[] = $value['id'];
....
}
}
我的问题是关于 Phalcon 框架是否有我应该为这一行编码的任何设置或格式 $sql = 'SELECT id FROM tags WHERE name LIKE "%' . $q . '%"';
以及任何防止 SQL 在 PhalconPHP 控制器和索引中注入的一般性建议,我们将不胜感激。
供参考:
我的控制器:
public function searchAction()
{
$this->view->disable();
$q = $this->request->get("q");
$sort = $this->request->get("sort");
$searchUserModel = new SearchUsers();
$loginUser = $this->component->user->getSessionUser();
if (!$loginUser) {
$loginUser = new stdClass;
$loginUser->id = '';
}
$page = $this->request->get("page");
$limit = 2;
if (!$page){
$page = 1;
}
$list = $searchUserModel->findTeachers($q, $loginUser->id, ($loginUser->id)?true:false, $page, $limit, $sort);
if ($list){
$list['status'] = true;
}
echo json_encode($list);
}
我的Ajax:
function(cb){
$.ajax({
url: '/search/search?q=' + mapObject.q + '&sort=<?php echo $sort;?>' + '&page=' + mapObject.page,
data:{},
success: function(res) {
//console.log(res);
var result = JSON.parse(res);
if (!result.status){
return cb(null, result.list);
}else{
return cb(null, []);
}
},
error: function(xhr, ajaxOptions, thrownError) {
cb(null, []);
}
});
q 是用户的搜索词。
Phalcon\Filter 在与数据库交互时很有帮助。
在你的控制器中,你可以说,从 $q 中删除除字母和数字之外的所有内容。
$q = $this->request->get("q");
$q = $this->filter->sanitize($q, 'alphanum');
您应该绑定查询参数以避免 SQL 注入。据我所知,Phalcon 将 '%' 通配符放在 conditions
值中可能有点有趣,所以我将它们放在 bind
.
这比仅仅过滤查询要好。
$tags = Tags::find([
'conditions' => 'name LIKE :name:',
'bind' => [
'name' => "%" . $q . "%"
]
])
请求的最短路径:
$q = $this->request->get('q', 'alphanum');