第二阶段SQL注入

Question

我有一个发送到外部网站的用户表单，并且来自该网站的响应包含唯一代码（如“a87ju89y”）。该代码对我来说很重要，所以使用准备好的语句将其输入到我的数据库中。

在后端我有一个运行PHP脚本，查询数据库，看看是否有新的代码这样每分钟一个cronjob：

$con = mysqli_connect($servername, $username, $password, $database); 
if (mysqli_connect_errno()){ 
echo "Failed to connect to MySQL: " . mysqli_connect_error(); 
} 
$results = mysqli_query($con, "SELECT user FROM stack ORDER BY ID"); 
$cronresults = mysqli_query($con, "SELECT run FROM kook ORDER BY ID"); 
$row = mysqli_fetch_assoc($results); 
$cron = mysqli_fetch_assoc($cronresults); 
$row2 = $row['user']; 
$cron2 = $cron['kook']; 

我的问题是，我需要一份准备好的声明简单地提取信息并阻止某种SQL注入？如果我做我该怎么做呢？

Answer 1

您不需要在这里准备好声明，因为您没有将任何数据传递到查询中。准备好的语句将查询分解为查询本身（使用占位符）和要处理的数据。这样就不会混淆什么是数据和什么是查询。

选择表中的所有行都不需要数据。

Answer 2

只有在需要将值插入查询时，Prepared语句才有用。这通常是在您有一个包含要搜索的值的WHERE子句时。在你的情况下，两个查询都没有任何移动部分，所以没有任何准备好的语句可以为你做。

在一个侧面说明，你可以做一些事情来改善你的脚本：

• 两个查询合并为一个效率：
• 务必确认查询已运行你获取成功之前结果
• 在SQL的末尾添加LIMIT 1如果当你在你的数据库中直接使用的数据已经将只使用第一个结果