用户输入处理 postgresql

Question

我觉得我错过了一个非常基本的概念。我可以使用一些说明或参考材料。

在我的网站上，我有一个用户在输入框中输入文本并将其提交到要存储的数据库。我使用下面代码块中的函数将该文本插入数据库，其中$conn->exec(query) 来自Pg.pm。

$conn->exec("select someFunc($mykey,'text to insert');");

现在，这可行，但容易受到 sql 注入的影响，或者即使用户输入逗号，它也会中断。

我读到了DBD::Pg，它有 prepare 声明，这似乎是我想要的，但我找不到 Pg.pm 的等价物。我错过了吗？

如果Pg.pm 不支持prepare。我应该使用支持prepare 语句的perl 模块吗？或者我可以按照bobby-tables 中概述的方法使用quote_ident() 和quote_literal 在我的SQL 函数中插入/更新用户输入字段。

我应该如何以安全的方式处理用户输入？

Answer 1

您不能只使用quote_ident 和quote_literal，因为它们处于SQL 级别，适用于使用EXECUTE 调用的动态SQL。将参数传递给函数对您没有任何好处，因为 SQL 字符串解析（以及 SQL 注入攻击风险）甚至在使用这些参数执行函数之前就发生了。

您真的需要准备好的语句支持或理解 PostgreSQL 文字引用规则的强大、安全的文字转义函数。如果您的数据库驱动程序两者都没有提供，那么它是不安全的，并且应该被丢弃，以支持提供的。