我正在开发的目标系统不支持 PDO尽管我正在寻求一种防止 SQL 注入的解决方案PHP 5.1.x on a PostGres-DB 8.2+。目前有no切换到 PDO 的机会。
我目前的解决方案是 pg_prepare-prepared 语句:
// Trying to prevent SQL-Injection
$query = 'SELECT * FROM user WHERE login=$1 and password=md5($2)';
$result = pg_prepare($dbconn, "", $query);
$result = pg_execute($dbconn, "", array($_POST["user"], $_POST["password"]));
if (pg_num_rows($result) < 1) {
die ("failure");
}
但 pg_prepare-documentation 缺少一个重要信息:
它讲述了“以后的使用”
pg_prepare() 创建一个准备好的语句以供以后执行
pg_execute() 或 pg_send_execute().[...]
它讲述了“命名/匿名声明”
该函数创建一个名为 stmtname 的预准备语句
查询字符串,必须包含单个 SQL 命令。 stmtname 可能是
"" 创建一个未命名的语句,在这种情况下任何预先存在的
未命名的语句会被自动替换;[...]
它讲述了“类型转换”
与 pg_prepare() 一起使用的准备好的语句也可以通过以下方式创建
执行 SQL PREPARE 语句。 (但是pg_prepare()更灵活
因为它不需要预先指定参数类型。)此外,
虽然 PHP 没有删除预准备语句的函数,
SQL DEALLOCATE 语句可用于此目的。
但它并没有说明这种预准备语句的实现是否可以安全地避免 SQL 注入
*此安全问题的几乎所有注释都涉及 PDO 解决方案,在文档中注意到驱动程序可防止 SQL 注入。但如果 pg_prepare 是一个简单的解决方案,我现在会使用 pg_prepare。*
感谢您提供这一可能是最佳实践解决方案的重要信息。
编辑(标记为解决方案后):感谢非常有启发性的答案!
- 我将 Frank Heikens 的解决方案标记为最佳答案,因为它解释了 SQL 注入中的一个重要点。程序员可能会使用准备好的语句,但 SQL 注入缺乏可能仍然错误地存在!
- 除了 Frank Heikens 的回答之外,hoppa 还表明使用 pg_prepare/pg_query_params 可以防止 SQL 注入。不过谢谢。
- 现在将使用优化的代码
pg_query_params
(感谢米伦·A·拉德夫)
- And
pg_escape_string()
作为替代方案(感谢 halfer)
所有答案都有帮助:)
// Trying to prevent SQL-Injection (**updated**)
$sql_query = 'SELECT * FROM user WHERE login=$1 and password=md5($2);';
$result = pg_query_params($dbconn_login, $sql_query, array($_POST["user"], $_POST["password"]));
if (pg_num_rows($result) < 1) {
die('failure');
}