我正在开发一个无法升级到 v.3 的 Codeigniter 2 项目。到目前为止,我在使用查询生成器时遇到了两难境地,尤其是当我需要进行更复杂的查询时。 CI v.3 通过使用 ->group_start() 和 ->group_end() 可以很好地处理它,但 CI v.2 没有。 现在,我的困境如下:仅使用自定义 where 查询是否安全?
$this->db->where("name='$name' AND status='boss' OR status='active'");
查询生成器是否对其进行了足够的清理,或者我应该使用额外的清理(第三个参数保留为默认值 - true)?
** 更新 **
我没有准确地写出我需要这个复杂的查询。沿着这个逻辑的某个地方:
A=1 && B=2 && C=3 && (D=10 || E=20 || F=30)
【问题讨论】:
标签: php mysql codeigniter sanitization
来自文档,https://codeigniter.com/userguide2/database/active_record.html#select
注意:传递给此函数的所有值都会自动转义, 产生更安全的查询。
我假设这是如果您正确使用它而不是像您的想法那样直接插入变量。
所以我会这样做(如果我使用 CI :/)
$this->db->where('name', $name);
$this->db->where("(status='boss' OR status='active')", NULL, FALSE);
..丑
【讨论】:
WHERE name = 'JOE' OR status = 'boss' OR status = 'active';我忘了提及为什么我需要这个 - 用于复杂的查询(不仅仅是像上面那样简单)。如果我需要得到这样的东西:(A&B)|| (C & D)。
我使用 CI,但跳过了他们的查询生成器并使用 PDO。您仍然可以将所有设置放在/config/database.php 中并直接使用它们。
class SomeModel_model extends CI_Model {
protected $pdo;
public function __construct() {
parent::__construct();
$this->load->database();
$opt = array(
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
);
$this->pdo = new PDO($this->db->dsn, $this->db->username, $this->db->password, $opt);
}
然后选择...
// $this->db->where("name='$name' AND status='boss' OR status='active'");
$sql = "SELECT * from myTable where name = :name and (status = 'boss' OR status = 'active')';
$stmt = $this->pdo->prepare($sql);
$stmt->execute(['name' => $name]);
$results = $stmt->fetch();
【讨论】:
您的查询的正确实现是
$this->db
->where('name',$name)
->group_start()
->where('status','boss')
->or_where('status','active')
->group_end();
编辑 Codeigniter 2
$this->db
->where('name',$name)
->where('(status','boss')
->or_where('status',$this->db->escape('active').')',false);
【讨论】:
查询生成器只转义直接传递给它的数据,而不是通过字符串中的赋值。
如果您想安全起见,只需在输入变量之前将其转义即可:
$var1 = $this->db->escape_str($data)
现在您的查询相对安全。
【讨论】: