Mysql/PDO問題

Question

我在嘗試將我的網站與PDO進行轉換，因此它對於sql注入更安全。

我在這裏有一個問題，我檢查，如果用戶名尚未註冊：

這是我的SQL大氣壓：

function isregistered($var,$methode) { 
    $check1 = mysql_result(mysql_query("SELECT COUNT(gebruikersnaam) FROM leden_temp WHERE ".$methode."='".$var."'"),0); 
    $check2 = mysql_result(mysql_query("SELECT COUNT(id) FROM leden WHERE ".$methode."='".$var."'"),0); 

    $check = $check1 + $check2; 

    if($check == 0) { 
     return FALSE; 
    } else { 
     return TRUE; 
    } 
} 

和我想要將其轉換以sql的方式作爲一個pdo語句：

$check1 = $dbh->query("SELECT COUNT(gebruikersnaam) FROM leden_temp WHERE ".$methode."='".$var."''); 

但我有點失去了如何這實際上會與PDO工作？你們能幫我一下嗎？

Answer 1

如果您選擇使用準備好的語句，則會更安全。

$check1 = $db->prepare('SELECT * FROM leden_temp WHERE gebruikersnaam = :var'); 
$arr1 = array(
    ':var'=>$var 
); 
$check1->execute($arr1); 
$row_count_check1 = $check1->rowCount(); 



$check2 = $db->prepare('SELECT * FROM leden WHERE gebruikersnaam = :var'); 
$arr2 = array(
    ':var'=>$var 
); 
$check2->execute($arr2); 
$row_count_check2 = $check2->rowCount(); 



$check = $row_count_check1 + $row_count_check2; 

if($check == 0) { 
    return FALSE; 
} else { 
    return TRUE; 
} 

這樣，SQL注入，可以防止更容易

我認爲你正在使用Murfy's login-system，所以如果你想使用相同的查詢，以檢查是否有電子郵件地址已經註冊，你需要將'gebruikersnaam'改爲'email'。

Answer 2

使用PDO不會自動使您的腳本更安全，但它確實允許使用prepared statements。

根據$var和$method的值來自哪裏，您仍然可能容易受到SQL注入的影響，因此您可能需要認真驗證輸入是否如預期。不幸的是，已準備好的語句不能用於列名，因此零件不能參數化。

這是參數化第一個查詢部分的代碼片段。同樣的想法也可以用於第二個查詢。

$stmt = $dbh->prepare("SELECT COUNT(gebruikersnaam) FROM leden_temp WHERE ${methode} = :methode"); 
$stmt->bindParam(':methode', $var);