此代码是否受 SQL 注入保护？

Question

这足够安全吗？还是应该改进？此代码是否受 SQL 注入保护？ (PHP)

if (isset($_POST['mailSet'])) {
$asd=filter_input(INPUT_POST, 'TypeM', FILTER_SANITIZE_NUMBER_INT);
$zxc=filter_input(INPUT_POST, 'mailFor', FILTER_SANITIZE_NUMBER_INT);
global $wpdb;

try {
    $wpdb->get_row($wpdb->prepare("UPDATE mail_sttng set setting_val=%d
    WHERE setting=1
    ", $asd));
    $wpdb->get_row($wpdb->prepare("UPDATE mail_sttng set setting_val=%d
    WHERE setting=2
    ", $zxc));


bla bla...

Answer 1

我想当然地认为$wpdb 是from the WordPress project。

那么作为explained by the documentation，这些占位符的目的就是防止SQL注入。

因此您可以认为您的代码对 SQL 注入是安全的。

我个人喜欢尽快将我的值转换为正确的类型，现在也许这就是filter_input 的目的，我不知道。

$asd = (int) filter_input(INPUT_POST, 'TypeM', FILTER_SANITIZE_NUMBER_INT);
$zxc = (int) filter_input(INPUT_POST, 'mailFor', FILTER_SANITIZE_NUMBER_INT);

Answer 2

可能不会。您可能应该这样做：

$wpdb->get_row($wpdb->prepare("UPDATE mail_sttng set setting_val=%d
    WHERE setting=1
    ", htmlspecialchars($asd)));

如果 setting_val 不是字符串字段，您可能需要验证是否也传递了正确的数据类型