【问题标题】:How to prevent SQL injection in PhalconPHP when using sql in model?在模型中使用 sql 时如何防止 Phalcon PHP 中的 SQL 注入?
【发布时间】:2015-07-06 00:12:00
【问题描述】:

假设我正在构建一个搜索,以查找所有教师并获得用户可以输入搜索词的输入。我尝试阅读 phalcon 文档,但只看到绑定参数之类的内容。我阅读了另一个关于需要准备语句的帖子,我在 Phalcon 中也需要它吗?

我在模型中的功能是这样的:

public function findTeachers($q, $userId, $isUser, $page, $limit, $sort)
{
  $sql =  'SELECT id FROM tags WHERE name LIKE "%' . $q . '%"';
  $result = new Resultset(null, $this,
  $this->getReadConnection()->query($sql, array()));
  $tagResult = $result->toArray();
  $tagList = array();
  foreach ($tagResult as $key => $value) {
     $tagList[] = $value['id'];
  ....

  }
}

我的问题是关于 Phalcon 框架,我应该为这一行编码任何设置或格式$sql = 'SELECT id FROM tags WHERE name LIKE "%' . $q . '%"';

此外,对于防止 PhalconPHP 控制器和索引中的 SQL 注入的任何一般性建议,我们将不胜感激。

供参考:

我的控制器:

public function searchAction()
{
    $this->view->disable();
    $q = $this->request->get("q");
    $sort = $this->request->get("sort");
    $searchUserModel = new SearchUsers();
    $loginUser = $this->component->user->getSessionUser();
    if (!$loginUser) {
      $loginUser = new stdClass;
      $loginUser->id = '';
    }
    $page = $this->request->get("page");
    $limit = 2;
    if (!$page){
        $page = 1;
    }

    $list = $searchUserModel->findTeachers($q, $loginUser->id, ($loginUser->id)?true:false, $page, $limit, $sort);

    if ($list){
        $list['status'] = true;
    }
    echo json_encode($list);
}

我的阿贾克斯:

function(cb){
    $.ajax({
        url: '/search/search?q=' + mapObject.q + '&sort=<?php echo $sort;?>' +  '&page=' + mapObject.page,
        data:{},
        success: function(res) {
            //console.log(res);
            var result = JSON.parse(res);
            if (!result.status){
                return cb(null, result.list);
            }else{
                return cb(null, []);
            }
        },
        error: function(xhr, ajaxOptions, thrownError) {
            cb(null, []);
         }
});

其中 q 是用户的搜索词。

【问题讨论】:

标签: sql-injection phalcon


【解决方案1】:

您应该绑定查询参数以避免 SQL 注入。据我所知,Phalcon 将“%”通配符放在 conditions 值中可能有点有趣,所以我将它们放在 bind 中。

这比仅仅过滤查询要好。

$tags = Tags::find([
    'conditions' => 'name LIKE :name:',
    'bind' => [
        'name' => "%" . $q . "%"
    ]
])

【讨论】:

  • 非常感谢。我最初是在寻找这样的东西。我试着改成这个,它在$this-&gt;getReadConnection()-&gt;query($tags, array())); 给我一个错误,它告诉我参数'sqlStatement'必须是一个字符串。我之前使用sql语句的时候没有这个问题。那么我需要在这里更改什么?
【解决方案2】:

Phalcon\Filter 在与数据库交互时很有帮助。

在您的控制器中,您可以说,从 $q 中删除除字母和数字之外的所有内容。

$q = $this->request->get("q");
$q = $this->filter->sanitize($q, 'alphanum');

【讨论】:

    【解决方案3】:

    请求的最短路径:

    $q = $this-&gt;request-&gt;get('q', 'alphanum');

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2011-10-07
      相关资源
      最近更新 更多