如何保护加载数据本地infile更新查询针对sql注入

Question

在我的应用程序，我需要提供上传csv和excel文件，然后用于更新数据库的可能性。该文件包含+/-几百万行，所以我需要使用装载本地数据INFILE：

$stmt1 = $dbh->prepare("CREATE TEMPORARY TABLE ${prefix}tempskuEAN LIKE ${prefix}skuEAN"); 

$stmt4 = $dbh->prepare("LOAD DATA LOCAL INFILE '/ama/$aa[0]/CustomerUpload/$a.csv' INTO TABLE ${prefix}tempskuEAN FIELDS TERMINATED BY ';' OPTIONALLY ENCLOSED BY '\"' (seller_sku, EAN, fallback)"); 

$stmt5 = $dbh->prepare("UPDATE ${prefix}skuEAN a LEFT JOIN ${prefix}tempskuEAN b ON a.seller_sku = b.seller_sku SET a.EAN = b.EAN, a.fallback = b.fallback WHERE a.seller_sku = b.seller_sku"); 

$stmt6 = $dbh->prepare("DROP TEMPORARY TABLE ${prefix}tempskuEAN"); 

在$ stmt4的变量是由我的程序设定，所以他们不会是一个问题，但我我非常关心更新/插入值的安全性。有没有什么方法可以将本地负载数据与负载数据一起转义而不会造成性能损失？

Answer 1

如果我明白你在问什么......没有必要“逃避”由LOAD DATA声明读入的文件中的值。这些值被解释为数据，而不是作为SQL文本的一部分。

也就是说，如果从文件读入的值类似于NOW()，那将读作字符串。如果该值被存储到VARCHAR列中，则该字符串值将存储在该列中;该字符串的内容不会被解释为“调用SQL函数”。

的LOAD DATA类似于与绑定占位符，例如准备语句：

INSERT INTO MYTABLE（A，B，C）值，（（，？，？？）（，，？？？？） ？，？，？）

为占位符提供的值仅作为数据处理，它们不是SQL文本的一部分。

注意：这并不保证存储在表中的值是“安全的”。 LOAD DATA语句是安全的。完全有可能通过其他一些陈述来提取该值，然后将其他一些陈述不正确地处理该值作为潜在的不安全因素并造成严重破坏。

---

编辑

我回答说，LOAD DATA说法是不容易受到SQL注入，尽可能从文件中读取值。

只是为了澄清，则这部分代码：

$stmt4 = $dbh->prepare("LOAD DATA LOCAL INFILE '/ama/$aa[0]/CustomerUpload/$a.csv' INTO 

被（潜在地）容易受到注射，从$aa和$a被包括在SQL文本。