主页 / 问题 / 642136
Accepted
Mike
Asked:2020-03-21 04:19:26 +0800 CST2020-03-21 04:19:26 +0800 CST

sql注入如何修复?

  • 772
if($user['cat'] == 0){      
  // Проверяем наличие категории
  $mesto_cat = DB::$the->query("SELECT mesto FROM `sel_category` WHERE `mesto` = '".$message."' ");
  $mesto_cat = $mesto_cat->fetchAll();

  if (count($mesto_cat) != 0) 
    {
      $chat = escapeshellarg($chat);    
      $message = escapeshellarg($message);  
      exec('bash -c "exec nohup setsid php ./select_cat.php '.$chat.' '.$message.' > /dev/null 2>&1 &"');
      exit;
    }
}

如果 $message 是,请告诉我如何修复 sql 注入"qwe'; DROP TABLE sel_category; --"

php

2 个回答

  1. 在任何情况下都不应根据用户输入的变量创建查询。您可以使用占位符,可以使用准备好的表达式。

    但!无需提供广泛的输入选项。如果允许输入数字,则将输入解析为数字。如果名称 - 检查“额外”字符。未经处理请勿替换输入!!!

    • 1
  2. Best Answer

    判断query/fetchAll-DB::$thePDO要么有它的代理。

    使用其准备好的语句

    $mesto_cat = DB::$the->prepare("SELECT mesto FROM `sel_category` WHERE `mesto` = ?");
$mesto_cat->execute([$message]);
$mesto_cat = $mesto_cat->fetchAll();
    • 1

相关问题