来自Google Bigquery文档:
运行参数化查询
BigQuery支持查询参数,以帮助防止SQL注入 使用用户输入构造查询。此功能仅限 提供标准的SQL语法。
要指定命名参数,请使用@字符后跟a 标识符,例如@param_name。
Google Bigquery有python和Java的示例代码,可以使用参数化查询。
https://cloud.google.com/bigquery/querying-data#bigquery-query-params-python
Google Bigquery在此处没有运行参数化查询的php示例代码。
我尝试在PHP中使用@,就像在python和java代码中一样,它不起作用。
有什么建议吗?
谢谢!
我根据Elliott和Mosha的要求添加了代码
代码:
$query = "SELECT * FROM [myproject.mydateset.users] where user_id = '$userId' LIMIT 1000";
$queryResults = $this->bigQuery->runQuery($query);
此查询没问题。但它并没有阻止sql注入。
我尝试将查询更改为
$query = "SELECT * FROM [myproject.mydateset.users] where user_id = '@$userId' LIMIT 1000";
或
$query = "SELECT * FROM [myproject.mydateset.users] where user_id = @$userId LIMIT 1000";
防止sql注入。 这两个查询都不起作用。
答案 0 :(得分:2)
我没有设置项目来试试这个,所以如果有语法错误或其他疏忽,我会道歉,但请看看是否有效。我的基础是PHP API in Github。您需要确保使用standard SQL作为查询而不是旧版SQL。
$bigQuery = new BigQueryClient([
'projectId' => $projectId,
]);
$query = "SELECT COUNT(DISTINCT word) AS distinct_words
FROM `bigquery-public-data.samples.shakespeare`
WHERE corpus = @corpus_name;";
$queryResults = $bigQuery->runQuery(
$query,
['useLegacySql' => false],
['queryParameter' => new QueryParameter([
'name' => 'corpus_name',
'parameterType' => new QueryParameterType([
'type' => 'STRING',
]),
'parameterValue' => new QueryParameterValue([
'value' => 'kingrichardii',
]),
],
);
答案 1 :(得分:0)
我试过这个并且工作.. [google-BigQuery]
$cloud = new ServiceBuilder([
'keyFilePath' => 'project-auth-file.json'
]);
$bigQuery = $cloud->bigQuery();
$query = 'select id
from `api-project-id.dbname.tablename`
where userId = @user_id;';
$_userId = 202;
$queryJobConfig = $bigQuery->query($query)
->parameters([
'user_id' => (int)$_userId
]);
$queryResults = $bigQuery->runQuery($queryJobConfig);
foreach ($queryResults as $row) {
echo "<br>". $row['id'];
}
{谷歌-大量查询}