php – Mysqli准备语句(SQL注入预防)

在停止使用已弃用的mysql_ *函数后,我切换到了mysqli.但后来,我注意到非预处理语句对SQL注入是不安全的.然后,我再次更改了我的代码.

我所拥有的是以下函数,它检查数据库中是否存在变量$ID,并打印该行的title值：

function showPostTitle($ID, $mysqli) {
    $result = $mysqli -> query("SELECT ID, title FROM blog where ID = $ID");
    $row = $result -> fetch_array(MYSQLI_BOTH);
    echo $row['title'];
}

我改成了这个：

function showPostTitle($ID, $mysqli) {
    $stmt = $mysqli -> prepare("SELECT ID, title FROM blog WHERE ID = ?");
    $stmt -> bind_param("i", $ID);
    $stmt -> execute();
    $stmt -> bind_result($ID, $title);
    $stmt -> fetch();
    print_r($title);
    $stmt -> free_result();
}

我的问题是：这是实施准备好的陈述的正确方法吗？另外,我现在从SQL注入安全吗？非常感谢谁回答这个问题:)

解决方法:

你的mysqli逻辑似乎很好,PHP manual here中有一些例子,以防你没有看到它们.

为什么不在消费时选择ID呢？当你只想在完整结果集中返回一行时,你真的不需要绑定结果,因为我认为在这种情况下会发生(ID是表中的唯一索引),而是使用get_result.

使用mysqli prepare可以防止所有常见的注入攻击,但不能使用0天的样式,而这些攻击尚未成为驱动程序.

标签：php,sql,mysql,code-injection
来源： https://codeday.me/bug/20190901/1782780.html