我听说sprintf() 可以防止 SQL 注入。这是真的吗?如果有,怎么做?
为什么人们推荐这样写查询:
$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = %s AND COL2 = %s',$col1,$col2);
【问题讨论】:
标签: php mysql sql-injection
sprintf 不会保护你!它只替换了%s
你必须 mysql_real_escape_string 这样:
$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));
注射更安全
注意:我建议你看看PDO,这是我喜欢用于 DBconections 和查询的东西
【讨论】:
这没有任何保护作用。使用sprintf 可以使代码更具可读性,然后放入和取出字符串以在每个变量上运行mysql_real_escape_string……但该示例最后并没有转义变量,因此失去了优势。
如果您想要体面的保护,请使用提供bound parameters 的东西。
【讨论】:
stupid_overlong_not_fake_function_names 在早上的这个时候很容易引入错别字。 :)
使用 sprintf 可以防止数字字段的 SQL 注入:
$sql = sprintf("SELECT * FROM table WHERE col1 = %i", $col1);
通过以这种方式使用 sprintf,您可以确保 $col1 将被转换为整数 - 尽管它可能会生成错误或警告,如果它不是真正的整数。
防止 SQL 注入的正确方法是检查所有输入值并进行转义。但这在其他问题中有更全面的介绍,所以我不打算在这里详细介绍。
【讨论】:
它显然没有,如果你真的在书或教程中读过它,你应该自动丢弃它以供将来参考。
但是,它可能是一种实用的方法来生成需要进一步处理的输出。请比较:
echo '<p>Hello, <strong></strong>' . htmlspecialchars($name) . ', welcome to ' . htmlspecialchars($place). '</p>';
echo sprintf('<p>Hello, <strong>%s</strong>, welcome to %s</p>',
htmlspecialchars($name),
htmlspecialchars($place)
);
这同样适用于其他类型的输出,例如 SQL 代码,但当然您仍然需要做一些输入以使其安全:sprintf() 只是一个不知道 SQL 和数据库的常规字符串函数。
请注意,绑定参数使用类似的语法:
// Fictional DB abstraction layer
$sql = 'SELECT foo_id
FROM foo
WHERE name=:name AND status=:status';
$params = array(
'name' => $name,
'status' => $status,
);
$result = $db->run($sql, $params);
这就是为什么我特别发现使用那些提供这种语法的数据库库(例如 PDO)更容易。
【讨论】: