PDO - 使用准备好的语句将所有 sql 数据放入 html 表中

Question

我想从我的表中获取所有数据并将其显示在一个 html 表中，但我不确定如何使用准备好的语句来保护我免受 sql 注入。

我读过它应该看起来像：

$getPlayers = $db->prepare("SELECT * FROM Player WHERE name = :name");

但我不确定如何使用使用“WHERE”的方法从数据库中获取我的所有数据。

到目前为止，这是我的代码。它可以工作并获取我所有的数据，但我认为它不会安全地通过 sql 注入，是吗？

$getPlayers = $db->prepare("SELECT * FROM Player");
$getPlayers->execute();

$players = $getPlayers->fetchAll();

echo "<table>";
echo "<tr><th>Name</th><th>Games Played</th><th>Tries</th></tr>";


foreach( $players as $row) {
    echo "<tr>";
    echo "<td>".$row['name']."</td>";
    echo "<td>".$row['games_played']."</td>";
    echo "<td>".$row['tries']."</td>";
    echo "</tr>";
}

echo "</table>";

Answer 1

SQL 注入只是用户输入的数据需要发送到数据库的问题。 SELECT * FROM Player 之类的查询不包含用户数据。由于这个原因，SQL 注入是完全安全的。

事实上，在这种情况下，使用准备好的语句没有任何好处。此处的准备好的语句将在一次调用时对数据库进行两次调用。

你可以这样做：

$getPlayers = $db->query("SELECT * FROM Player");
foreach ($getPlayers as $player) {
  // do something
}

无需准备，无需绑定，只需一次调用数据库。

Answer 2

SQL 注入使用提交的数据。有关示例，请参阅http://en.wikipedia.org/wiki/SQL_injection。在您的示例中，我没有看到提交数据的任何用法。

如果要按名称搜索，则搜索的文本可以是 sql 注入但给出 您将使用绑定参数这一事实不会成为问题。

$search  = $_GET['search'];
//mysql injection danger:
$getPlayers = $db->prepare("SELECT * FROM Player WHERE name = '$search'");

//因为我可以搜索字符串' OR 1=1 OR 1='

//binded, no mysql injection
$search  = $_GET['search'];
$getPlayers = $db->prepare("SELECT * FROM Player WHERE name = ?");
$db->bindParam(1, $search, PDO::PARAM_STR);

有关绑定的更多信息，请参阅http://www.php.net/manual/en/pdostatement.bindparam.php。