在PHP中避免SQL注入

Question

我已經閱讀了有關db注入的內容，直到我眼睛發紅，論壇搜索，錯過搜索搜索....所以一個徹頭徹尾的問題。我正在使用jquery/ajax。

var characterReg = /^([0-9a-zA-NP-Z]{27,34})$/; 

僅用於基本格式驗證。這是傳遞給PHP。在數據庫查詢中使用結果安全嗎？我不是在尋找實際的比特幣地址驗證只是基本格式。

<?php 
include('myConnect.php'); 
$expire = time() + 60 * 60 * 24 * 30; 
$path = '/'; 
if (isset($address)) { 
    // Query db if address exsists. 
    $data = mysql_query("SELECT * FROM viewers WHERE address = '$address'"); 
    $info = mysql_fetch_array($data); 
    if ($info) { 
     // Build cookie data from db row array. 
     $bitAdrr = $info['address']; 
     $id = $info['id']; 
     $earn = $info['earnings']; 
     $track = $info['tracking']; 
     setcookie('user', $bitAdrr . ',' . $id . ',' . $earn . ',' . $track, $expire); 
    } else { 
     echo 'empty'; 
    } 
} 
?> 

myConnect.php

<?php 
$addr = $_GET['address']; 
// Verify address is correct format. 
if (strlen($addr) > 26 && strlen($addr) < 35 && !preg_match('/[^A-NP-Za-z0-9]/', $addr)) { 
    $server = 'mysql.myHost.com'; 
    $user = 'myUserName'; 
    $pass = 'myPassWord'; 
    $db  = 'myDataBase'; 
    // Connect to Database 
    $connection = mysql_connect($server, $user, $pass) or die("Could not connect to server. \n" . mysql_error()); 
    mysql_select_db($db) or die("Could not connect to database. \n" . mysql_error()); 
    $address = $addr; 
} else { 
    exit; 
} 
?> 

可能打針？ mysql_real_escape_string（用htmlspecialchars似乎是很慢的。我寧願不要。

Answer 1

最好的答案就是使用prepared statements，讓數據庫引擎擔心正確轉義。

全部細節都在PHP手動的，但是細節上，你首先通過提供問號佔位符聲明的變量的模板準備：

$stmt = $mysqli->prepare("SELECT * FROM viewers WHERE address = ?") 

您可以提供的參數來代替：

$stmt->bind_param("s", $address) 

然後終於執行：

$stmt->execute(); 

其他方面需要注意的是，它看起來就像你正在試圖做在客戶端（在JavaScript）的驗證，而不是在服務器端（在PHP中）。這並不安全，因爲您無法驗證所有請求是否來自網頁上運行的代碼;由於代碼在我的瀏覽器中運行，我可以簡單地選擇不運行它，並使用我喜歡的任何地址值直接向您的服務器發送請求。始終在服務器端實施數據驗證。