我只想检查我的PHP-MYSQL查询的安全性(如果有的话),我使用的是通过$ _POST进行验证然后验证的用户数据 - 所有数据的验证过程包括使用mysqli_real_escape_string( )在字符串和trim()上。然而,我的一些输入的性质意味着我不会限制用户输入的任何字符。我正在做什么安全,如果不安全怎么做呢。
插入查询的示例(其中$ name和$ description是已通过验证函数的$ _POST数据值。)
$sql = "INSERT INTO company(company_name, company_description) VALUES('".$name."', '".$description."')";
$result = mysqli_query($con, $sql);
选择查询的示例(其中$ companyid是用户输入,real_escaped和stripped)
$sql = "SELECT * FROM events WHERE event_company=".$companyid."";
$result = mysqli_query($con, $sql);
提前致谢。
答案 0 :(得分:1)
有一种叫做" SQL INJECTION"这可能会欺骗你的控制。请阅读此处了解更多信息https://www.veracode.com/security/sql-injection
答案 1 :(得分:1)
以下是您更新的查询以使用mysqli预处理语句。
$sql = "INSERT INTO `company` (`company_name`, `company_description`) VALUES(?, ?)";
$stmt = $con->prepare($sql);
$stmt->bind_param('ss',$name,$description); // ss is for string string
$stmt->execute();
$result = $stmt->get_result();
和
$sql = "SELECT * FROM `events` WHERE `event_company` = ?";
$stmt = $con->prepare($sql);
$stmt->bind_param('i',$companyid); // i indicates integer
$stmt->execute();
$result = $stmt->get_result();