这个sql代码是否安全使用？

像我在这段代码中使用的那样使用变量作为列名是否安全？这个sql代码是否安全使用？

public function SelectForum($column, $value) { 
    global $database; 
    $database->query('SELECT * FROM forums WHERE '.$column.' = :value'); 
    $database->Bind(":value", $value); 
    $database->execute(); 
    $ForumsData = $database->resultset(); 
    $ForumsCount = $database->RowCount(); 
    if($ForumsCount == 0) { 
     return null; 
    } else { 
     return $ForumsData; 
    } 
}

来源

2017-02-26 dovlapsy

具体看'whitelist's那里。 – chris85

那么，已经关闭，但什么地狱：见http://pastebin.com/X9FFq8Yc – cottton

这取决于$column的值来自哪里。如果有任何用户与他们有任何关系的机会，那么这是不安全的。

来源

2017-02-26 21:14:26

在假设$列是从用户的输入，然后我将至少是允许做检索列名的数组列表在你的函数最开始的：

$searchable = array('title','username'); 
if(!in_array($column, $searchable)) { 
    trigger_error('Invalid column name!', E_USER_WARNING); 
    return null; 
}

来源

2017-02-26 21:16:27

这个sql代码是否安全使用？

回答

相关问题