2
我很困惑当框架自动引用和它不变时quote变量。例如,据我所知,它不会在where子句中引用(除非您使用额外的参数?)。Zend db - 何时应该引用以避免sql注入?
是否有引导/作弊表单,当我们必须在基本CRUD操作中手动操作quote?
谢谢。
A
回答
4
对于我来说,基本的“经验法则”是如下:
- 如果您需要将值插入到字符串中,例如:
"SELECT * from TABLE WHERE value=$value"您必须先引用它。 - 如果您使用的是占位符,例如
$select->where('value = ?', $value');,或一组值如array('value' => $value),该框架将引用您的价值。
希望它能帮助,
2
永远不要自己构建查询字符串,总是让Zend_Db为你做。即,不要自行建造的字符串指定的where子句(等):
$where = 'id = ' . $_REQUEST['id'] . ' and thing = ' . $_REQUEST['thing'];
$select->where($where);
而是做到这一点:
$select
->where('id = ?', $_REQUEST['id'])
->where('thing = ?', $_REQUEST['thing']);
相关问题
- 1. Zend公司Db的避免SQL注入
- 2. 在ZEND中引用原始数据库以避免sql注入
- 3. 避免SQL注入
- 4. 为什么mysql_real_escape_string()不应该避免任何SQL注入?
- 5. 应该在MySQL查询中引用来自用户输入的数字以帮助避免SQL注入攻击?
- 6. 如何避免codeigniter中的sql注入
- 7. PHP代码,以避免SQL注入
- 8. 如何使用sp_executesql避免SQL注入
- 9. Spring(MVC)SQL注入避免?
- 10. YII一堆插入 - 避免SQL注入
- 11. 在PHP中避免SQL注入
- 12. MongoDB如何避免SQL注入混乱?
- 13. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 14. 避免使用connection.execute进行sql注入
- 15. 在输入中禁止使用单引号足以避免SQL注入吗?
- 16. 如何在引用web url时避免mysql注入
- 17. 避免MySQL注入Zend_Db类
- 18. 我该如何参数化pysqlite中的列名以避免SQL注入
- 19. fmdb - 选择与喜欢的查询,以避免sql注入
- 20. 如何清理php中的数据以避免SQL注入?
- 21. “mysqli_real_escape_string”足以避免SQL注入或其他SQL攻击吗?
- 22. 使用ASP.net保存用户代理时避免SQL注入
- 23. PHP - MySQL的避免SQL注入
- 24. 避免sql注入ActiveRecord命令
- 25. 使用SqlParameter可以完全避免SQL注入?
- 26. 避免JavaScript注入,同时保持HTML?
- 27. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻击?
- 28. Rails在hstore上的Postgres查询以避免SQL注入
- 29. Spring中的SimpleJdbcTemplate是否可以避免SQL注入?
- 30. Doctrine persist()是否可以避免SQL注入?
小过于简单,但良好。你应该引用 1)任何用户输入 2)任何可能包含SQL代码的东西 –
+1:对我来说,通配符总是“order by”子句,有时来自用户输入。也许你可以增加解决这个问题的答案。 –