使用wpdb使用“ join”收集“ where”子句数组安全准备

时间:2019-01-26 21:18:17

标签: mysql wordpress prepared-statement sql-injection

我需要确保一条大的SQL语句的WHERE子句中有很多条件,因此我使用$ wpdb->为WHERE子句创建了一个数组,但准备正确,但是在最终将该数组作为字符串连接在一起时发生了错误声明。

这是我的一些代码..是否足够安全,否则可能会导致SQL注入?

P.S。我尝试在最后一个 get_row 函数中进行另一个 $ wpdb-> prepare ,但是 join 函数在WHERE子句之前和之后都加了引号,因此该语句会产生错误。

foreach( $args as $field => $field_value ) {
    if( ! is_null( $field_value ) ) {            
        switch( $field ) {
            case 'id': {
                if( is_numeric( $field_value ) && ( intval( $field_value ) > 0 ) ) {
                    $where[] = $wpdb->prepare( 'tbl_names.id = %d', $field_value );
                }
            } break;                    
            case 'name': {
                $where[] = $wpdb->prepare( 'tbl_names.name = %s', $field_value );
            } break;                  
        }
    }
}

// NOT Working
return $wpdb->get_row( $wpdb->prepare( "SELECT * FROM {$tbl_names} tbl_names WHERE %s", join( ' AND ', $where ) ), ARRAY_A );

// Working Good .. BUT Is it Safe??
return $wpdb->get_row( ( "SELECT * FROM {$tbl_names} tbl_names WHERE " . join( ' AND ', $where ) ), ARRAY_A );

1 个答案:

答案 0 :(得分:0)

不幸的是,我认为这将是一段时间内唯一的答案。

$count = 0;
$query = "SELECT * FROM {$tbl_names} tbl_names";

foreach( $args as $field => $field_value ) {
  if( ! is_null( $field_value ) ) {

    $count++;
    $query .= ( 1 == $count ) ? ' WHERE ' : ' AND ';

    switch( $field ) {
            case 'id': {
                $query .= $wpdb->prepare( 'tbl_names.id = %d', $field_value );
            } break;                    
            case 'name': {
                $query .= $wpdb->prepare( 'tbl_names.name = %s', $field_value );
            } break;                  
        }
    }
}

return $wpdb->get_row( $query, ARRAY_A );
相关问题
最新问题