1
MySQL的语句现在我做:准备在()函数
$params = array(1,2,3);
$sql = 'select * from foo where bar in (%s)';
$sql = sprintf($sql,
implode(',', $params)
);
$params由用户提供的,因此显然是不安全的。 我该如何解决这个问题?我更喜欢使用像Zend这样的框架。
Q
准备在()函数
A
回答
2
你可以使用prepared statements与PDO:
$dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
$params = array(1,2,3);
$values = implode(',', array_fill(0, count($params), '?')); // ?,?,?
$sql = "select * from foo where bar in ($values)";
$stmt = $dbh->prepare($sql);
$stmt->execute($params);
通过使用预准备语句,您可以避免需要转义数据。你仍然需要验证它。
0
你必须使每个数组入口安全。要么使用mysql_real_escape_string(),要么在你的情况下,只是通过强制转换为int。最通用的方法是如下:
function quoteString($string) {
return "'" . mysql_real_escape_string($string) . "'";
}
$quotedParams = array_map("quoteString", $params);
$sql = sprintf($sql,
implode(',', $quotedParams)
);
在你的情况,你可以强制转换为int,所以你可以做这样的:
$intParams = array_map("intval", $params);
$sql = sprintf($sql,
implode(',', $intParams)
);
相关问题
- 1. jQuery函数包装VS DOM准备
- 2. 结合jQuery函数准备和生活
- 3. php pdo准备函数返回
- 4. 与准备()函数的错误
- 5. 文档准备调用SQL函数
- 6. 已准备好的语句的函数
- 7. mysqli的函数准备查询
- 8. 我可以在google云sql中准备数据以准备bigquery
- 9. 如何在$ angularSs准备上在$ rootScope上注册一个函数
- 10. 试图在文档准备好时运行两个函数
- 11. 在javascript中准备好函数时创建一个调用
- 12. 如何在DOM准备好后执行angularJs函数?
- 13. jQuery在自己的函数准备就绪时做些什么
- 14. 在SQL中使用IN函数中的预准备语句
- 15. 如何在准备好的语句函数中传递变量?
- 16. 如何在准备好的语句中使用sql函数CONCAT
- 17. 断点1.1在准备segue函数(swift 3)
- 18. ERROR在PDO:调用一个成员函数准备()上的空
- 19. 自执行函数是否在dom准备好运行?
- 20. 如何准备我自己的数据集到NLTK ConditionalFreqDist函数?
- 21. MySQLi动态准备函数与数组绑定
- 22. 为超级构造函数准备参数
- 23. Angular2:传递函数作为参数来准备对象
- 24. 准备语句数据库
- 25. 准备分析数据
- 26. 存储和准备数据
- 27. 准备测试数据库
- 28. PDO准备语句参数
- 29. 培训数据准备
- 30. PHP的mysqli不准备准备发言
[MySQL Prepared statement with a variable size variable list]可能的重复(http://stackoverflow.com/questions/327274/mysql-prepared-statements-with-a-variable-size-variable-list) – outis