mysql（i）_real_escape_string，安全依赖？

Question

function Query() 
{ 
    $args = func_get_args(); 

    if (sizeof ($args) > 0) 
    { 
     $query = $args[0]; 

     for ($i = 1; $i < sizeof ($args); $i++) 
       $query = preg_replace ("/\?/", "'" . mysql_real_escape_string ($args[$i]) . "'", $query, 1); 
    } 
    else 
    { 
      return FALSE; 
    } 

我有这样的功能。基本上，我做出这样的查询：

$this->Query('SELECT * FROM USERS WHERE Username = ? AND Points < ?', $username, $points); 

它目前支持弃用mysql功能，但适应mysqli会在我的类mysqli更换mysql一样简单。

这是一个安全的方法来依靠对SQL注入攻击？每个问号都被mysql_real_escape_string自动消毒，我从来没有遇到过问题，但是我应该使用mysqli_real_escape_string进行消毒？

我知道的mysqli的预处理语句，但使用bindParam每个变量似乎有点矫枉过正了我。

您认为如何？

Answer 1

一个真正伟大的一天 - 第二好的尝试建立一排一个合理的数据库抽象层。

我应该使用mysqli_real_escape_string进行消毒吗？

没有。
只因为此功能不消毒任何东西。

但转换为格式 SQL字符串文字这个函数是必须的，无法避免或替换。
所以，你正在正确使用这个功能，格式化字符串只有并格式化它们无条件。
所以，你有你的疑问完全安全，只要你可以使用？标记来替换实际数据（并且 - 甚至可以让挑剔的投诉空闲 - 只要您使用mysql(i)_set_charset()函数设置SQL编码）。

如果有人致电您的方法破 - 只是要求他们证明代码的完整片段显示一定的脆弱性。

但是，请让我将您的注意力放在一些重要的事情上。

1. 动态SQL查询零件不仅限于字符串。例如，这两个查询将不会与您的功能一起使用：

   SELECT * FROM table LIMIT ?,? 
   SELECT * FROM table ORDER BY ? 
   

   只是因为数字和标识符要求不同的格式。
   所以，最好使用类型暗示占位符，告诉你的功能，适用

2. 要运行一个查询只是工作的一部分的格式。你也需要得到结果。为什么不让他们已经，而不用不必要的电话膨胀你的代码？
3. 应该有一种方法来插入文字？标记为查询而不解析它们。

请看看my class，它建立在与您的原理完全相同的原则上，但是我在上面提到了一些改进。我希望你会发现它有用或至少值得借鉴一两个想法。

Answer 2

使用绑定的参数是不矫枉过正，并应符合规定。它会更有效地逃脱并准备好你的参数。

$stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)"); 
mysqli_stmt_bind_param($stmt, 'sssd', $code, $language, $official, $percent); 

$code = 'DEU'; 
$language = 'Bavarian'; 
$official = "F"; 
$percent = 11.2; 

/* execute prepared statement */ 
mysqli_stmt_execute($stmt); 

这是否真的看起来矫枉过正？

Documentation

Answer 3

，如果你现在使用的mysqli为mysql。最好使用mysqli_real_escape_string。 请注意参数顺序已被修改。 （％和_仍然没有逃脱）今天