我有一个链接缩略图列表。每个缩略图都有一个与一个变量的链接。
<a href="index.php?id=1"><img src="thumb1.jpg">
<a href="index.php?id=2"><img src="thumb2.jpg">
等等……
现在,我已更新网站以使用 url 重写。想法是我有这样的链接
<a href="gallery/?id=1"><img src="thumb1.jpg">
<a href="gallery/?id=2"><img src="thumb2.jpg">
或类似的东西。
在登录页面上,我使用$id 执行MySQL 查询并显示具有该ID 的图库中的所有图片。
$pictures = mysql_query("SELECT * FROM t_gallery where id=$id",$db);
可以做到吗,主要的是,我如何防止传递的 id 构成安全威胁?
干杯, 亚历克斯
【问题讨论】:
url-rewriting 部分本身并没有真正引入任何新的安全威胁,问题是mysql_* 函数的使用(已弃用)并且没有转义$id 请求变量。
如果您害怕 SQL 注入(应该如此),请在查询中使用 $id 变量之前对其进行转义,或者使用准备好的语句(然后切换到 mysqli 或 PDO,您应该在mysql_* 被弃用的任何原因!)。
始终验证并转义您将在数据库查询中使用的任何内容。
【讨论】:
mysql_real_escape_string 函数可能就是你要找的。如果您希望 $id 是一个数字,您可以随时使用if(is_numeric($id)) 进行检查,因为如果是,您实际上不必逃避它。 Sql 注入适用于任何类型的查询,而不仅仅是插入。
请注意SQL injection vulnerabilities,并确保清理任何用户输入或考虑使用prepared statements。
【讨论】:
对于特定的实现,我留下这段封装的代码
function ControllerAction($id=null) {
// I like to formalize on entry; this is supposed to be an absolute integer and nothing else
$id = abs((int)$id);
$q = 'SELECT * FROM t_gallery where id = ?'; // placeholder
// use PDO, it's safe and very comfortable
$pdo = get_pdo_connection($whatever_you_need);
// prepare it because it has placeholders, and because there is external input comming in
$stmt = $pdo->prepare($q);
// execute it
$stmt->execute(array($id)); // read the reference documentation to understand this clearly
// now the stmt object holds the results
return $stmt->fetchObject();// whatever you like here, I like to make a DAO
}
在这个例子中,简单的传入参数已经准备好使用,但我仍然使用准备好的语句来保持一致性(我自己的代码约定)
警告:这使用了某种形式的半途而废的 MVC/MVP/MVVM(我不再确定)类型架构
如果您使用 Url Rewriting 来进一步实施您的 SEO 链接,您实际上可以像这样制作您的 href URL
protocol://host/controller/action/getParam1/getParam2
// usage
http://yourhost/browsethumbs/aNumber
【讨论】: