如何防止Wordpress中的SQL注入？

2014-11-05 128 views 4 likes

我目前使用以下查询来获取mysql中使用php的值：如何防止Wordpress中的SQL注入？

代码正在工作，但现在我担心sql注入。

如何防止SQL注入？

<?php include_once("wp-config.php"); 
@$gameid = $_GET['gameid']; 

global $wpdb; 
$fivesdrafts = $wpdb->get_results( 
    " 
    SELECT ID 
    FROM $wpdb->posts 
    WHERE ID = ".$gameid." 

    " 
); 
?>

这是安全吗？

<?php include_once("wp-config.php"); 
@$gameid = mysql_real_escape_string($_GET['gameid']); 

global $wpdb; 
$fivesdrafts = $wpdb->get_results(
$wpdb->prepare(
    " 
    SELECT ID 
    FROM $wpdb->posts 
    WHERE ID = %d", ".$gameid.") 
); 
?>

来源

2014-11-05 barway

回答

从WordPress Codex on protecting queries against SQL Injection attacks：

<?php $sql = $wpdb->prepare('query' , value_parameter[, value_parameter ... ]); ?>

如果进一步向下滚动了一下，有examples。

你也应该阅读database validation docs对SQL的在WordPress逃逸更彻底的概述。

来源

2014-11-05 09:21:20 rnevius

如何防止Wordpress中的SQL注入？

回答

相关问题