0
这是否阻止Drupal中的SQL注入?Drupal中的SQL注入
db_query('INSERT INTO {tablename} (field1, field2) VALUES ("%s", "%s")', $field1, $field2);
A
回答
4
是你的问题“这是我需要做的,以阻止Drupal中的SQL注入吗?”
答案是“几乎,但不完全。”
db_query("INSERT INTO {tablename} (field1, field2) VALUES ('%s', '%s')",
$field1, $field2);
单引号对于SQL中的引用值更为标准。或者,如果您已经通过hook_schema定义了tablename表,则可以使用drupal_write_record来代替,如其他答案所述。 drupal_write_record的好处是,你不必应付任何SQL,你只是这样做:
$tablename = array('field1' => $field1, 'field2' => $field2);
drupal_write_record('tablename', $tablename);
+0
感谢您的建议您的意思是'$ field1 $ field2'可以是原始的$ POST数据根本不会被消毒吗?是否正常?Drupal会采取关心它的一切吗? – jblue 2010-09-07 18:52:13
+0
它们可以是原始的$ _POST数据,是的,我建议使用form api,然后允许你从$ form_state ['values']中取出数据,但是drupal的代码将处理任何如果这些值是固定长度的char/varchar字段,我建议在插入之前检查字符串长度,因为这是一个很好的习惯。 – 2010-09-08 16:12:19
5
您可以使用参数as described in the documentation。
但是,您应该调用drupal_write_record function来代替。
0
我强烈建议使用drupal_write_record()函数而不是SQL指令,SLaks前指出。
相关问题
- 1. Drupal Blind SQL注入7.34节点用户
- 2. Drupal核心 - SQL注入后果程序
- 3. server_processing.php中的SQL注入
- 4. SQL注入的PHP
- 5. SQL注入
- 6. 盲SQL注入
- 7. TableAdapters SQL注入
- 8. mysqli_stmt_bind_param SQL注入
- 9. DocumentDB Sql注入?
- 10. SQL Server注入
- 11. 笨SQL注入
- 12. MSAccess SQL注入
- 13. SQL注入法
- 14. EJB3 SQL注入
- 15. Rails SQL注入?
- 16. Drupal SQL注入攻击预防和表单中的撇号处理
- 17. 在mybatis中注入sql
- 18. SQL注入$ db-> query($ sql)?
- 19. Linq到SQL和SQL注入
- 20. SQL防止SQL注入
- 21. PostgreSQL上的OdbcCommand.Parameters中的SQL注入?
- 22. pandas中的SQL注入;在SQLAlchemy的
- 23. SQL注入涉及
- 24. Rails 5 SQL注入
- 25. 是从SQL注入
- 26. 检测SQL注入
- 27. Doctrine和SQL注入
- 28. LINQ和SQL注入
- 29. Sql注入问题
- 30. 防止SQL注入
完全没有。 – SLaks 2010-09-06 22:07:40
AAAAAAH,而不是我想要的答案。还有什么? :( – jblue 2010-09-06 22:18:08
不是很清楚你在问什么 – 2010-09-06 22:26:14