使用准备好的语句？我完全不明白[关闭]

Question

有人告诉我，这段代码很容易受到 SQL 注入的影响。我如何将其更改为安全？我知道使用准备好的语句是最好的，但我还没有找到一种不会破坏它的方法。

<?php

$con = new mysqli("localhost", "", "", "");
// Check connection
if (mysqli_connect_errno()) {
    echo "Failed to connect to MySQL: " . mysqli_connect_error();
}

$existsQuery = "select count(*) as count from entry where emailaddress like '" . $_POST[emailaddress] . "'";
$existsResult = mysqli_query($con, $existsQuery);

if ($existsResult->fetch_object()->count > 0) {
    header('Location: index2.php?email=exists');
} else {
    $sql = "INSERT INTO entry (firstname, lastname, emailaddress, favoritesong) VALUES ('$_POST[firstname]','$_POST[lastname]','$_POST[emailaddress]','$_POST[favoritesong]')";

    if (!mysqli_query($con, $sql)) {
        die('Error: ' . mysqli_error($con));
    }
    echo "1 record added";
}

mysqli_close($con);
?>

Answer 1

避免 SQL 注入的重要一点是，不要使用字符串连接构建查询。

所以不要像这样构建查询......

$sql = "select count(*) from entry where emailaddress like '" . $_POST[emailaddress] . "'";
$sth = $pdo->prepare($sql);
$sth->execute();

...您将改为使用绑定。通过绑定，?占位符将替换为电子邮件地址，但数据库知道如何引用以及如何转义输入...

$sql = 'select count(*) from entry where emailaddress like ?';
$sth = $pdo->prepare($sql);
$sth->bindParam(1, $_POST[emailaddress], PDO::PARAM_STR);
$sth->execute();

此参数化查询在 PDO 和 SQLi 中有效。 SQL 注入如何工作的演示您可以看到here，只需单击下一个箭头即可填写错误的用户输入。

还有一件事要考虑，绑定将提供一定的 SQL 注入保护，但这不应妨碍您验证用户输入。在您的示例中，这意味着您检查输入是否真的是电子邮件地址，否则只需拒绝用户输入。

Answer 2

您需要转义所有传递给 SQL 的变量，尤其是所有 $_POST 和 $_GET。

恕我直言，您可以使用 PDO（引用示例：http://php.net/manual/en/pdo.quote.php）。

希望对你有帮助。