0
我有我想这个消毒SQL查询:如何清理查询?
SELECT * FROM navigation_$cat ORDER BY parent ASC, prio ASC
的问题是,我不能得到$猫越快,因为它正在通过AJAX发送,并指出需要访问的数据库。我如何创建比简单地将字符串放在一起更安全的PDO语句?
Q
如何清理查询?
A
回答
2
您可以实现一个白名单,但另一种选择将是检查使用有效输入:
SHOW TABLES LIKE :tblname
和'navigation_'.$cat作为参数。检查它是否只返回一个表,并且返回的表完全匹配传递的参数。
一旦完成,您就知道注入查询是安全的,因为您已经确定它确实是一个有效的表名。
这就是说,“从未知事件表中动态选择”通常表明您正在设计数据库时出错,并且您应该只有一个navigation表,其中包含category列。
+0
感谢您的提示!我其实已经有了一张分类表,我只是觉得我可以跳过这一点。现在更改我的代码,以便正常工作。谢谢! – smiet
相关问题
- 1. 清理LDAP_bind查询
- 2. 如何从sqlplus查询“清理”输出?
- 3. 我如何清理下面的查询?
- 4. 清理Mysql更新查询
- 5. 清理查询字符串
- 6. 理清从SQL查询
- 7. Linq-to-XML:查询清理
- 8. 如何清空href查询
- 9. laravel清理空查询变量
- 10. 清理Python中的sqlite查询
- 11. ZF2为DB查询清理变量
- 12. SocialEngine数据库查询清理
- 13. T-SQL查询来清理VARCHAR列
- 14. 书写清洁整理PostgreSQL/PostGIS查询
- 15. .htaccess:清理查询字符串
- 16. 如何在zend中清理/释放数据库查询内存?
- 17. 如何清理这个特定的mysql查询?
- 18. 如何清理C语言中的SQL查询?
- 19. 如何使用whereRaw()来清理Laravel查询?
- 20. 如何清除查询错误?
- 21. 如何清除缓存的查询?
- 22. 查询缓存...如何清除?
- 23. 如何清除MySQL查询型材
- 24. 如何清除firebird查询缓存?
- 25. 如何管理查询?
- 26. 如何处理\查询mysql
- 27. 如何处理MySQL查询
- 28. 如何处理查询?
- 29. CASE查询澄清
- 30. 摸不清查询
'$ cat'从哪里来? – BenM
[我不相信你可以使用PDO参数化表名。](https://stackoverflow.com/q/11312737/2191572)你可以/应该为'$ cat'建立一个可接受的值的白名单,并检查'$ cat'在构建查询字符串之前位于白名单中。 – MonkeyZeus
检查$ cat是否在期望值列表中 –