如何安全地使用LIKE
如何安全地使用LIKE
提问于 2013-02-11 00:19:30
我正在构建一个脚本,用户可以在其中搜索数据库。我的理解是,PDO不允许您为LIKE操作数设置参数。所以我有这段代码来弥补它
$sQuery = "SELECT * FROM table WHERE column LIKE '%" . $this->sQuery . "%' LIMIT 30";
$Statement = $this->Database->prepare($sQuery);
$Statement->execute();我怀疑这对于SQL注入是安全的。有什么方法可以保证它的安全性吗?
回答 2
Stack Overflow用户
回答已采纳
发布于 2013-02-11 00:22:53
$pattern = "%" . $this->sQuery . "%";
$sQuery = "SELECT * FROM table WHERE column LIKE ? LIMIT 30";
$Statement = $this->Database->prepare($sQuery);
$Statement->execute(array($pattern));将其视为伪代码,因为我无法从您的示例中分辨出您使用的是哪个MySQL扩展。我假设是PDO,它允许将参数作为数组参数发送到execute()。
有些人使用PDOStatement::bindParam(),但这样做没有好处。也许在其他一些关系型数据库中,PDO::PARAM_STR很重要,但在MySQL驱动程序中,参数类型被忽略了。
PS:除了您询问的安全问题之外,您会发现搜索基于通配符的模式,就像您正在做的那样,随着数据的增长,性能不会很好。请参阅我的演示文稿Full Text Search Throwdown。
Stack Overflow用户
发布于 2013-02-11 00:23:10
这应该是可行的:
$sQuery = "SELECT * FROM table WHERE column LIKE :query LIMIT 30";
$Statement = $this->Database->prepare($sQuery);
$Statement->execute(array(':query' => '%' . $this->sQuery . '%'));页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/14799776
复制相关文章
相似问题
腾讯云开发者
