PHP查詢生成器安全更新

Question

我使用mysqli，我試過phpPDO，laravel，fluentPDO但我的問題總是更新。

我有一個不能被侵犯，在某些表某些用戶不允許更新一些領域，我認爲mysqli的不夠好，但問題是強大的安全規則..

如何強制對象通過ajax json傳遞只更新一些預定義的字段？我的意思是在服務器端（PHP）

你有任何其他建議嗎？...

我真的不喜歡與mysqli的工作，但我看不出如何使用任何來處理這個問題此查詢生成器......這是痛苦的，因爲我的查詢變長了，我對我自己的工作對SQL注入

Answer 1

在像Laravel這樣的框架中，查看ORM中的mass assignment限制。您可以限制哪些字段可以編輯。您也可以在更新模型之前對其進行過濾。

有白名單和黑名單選項。來自文檔的示例：

class User extends Model { 
    protected $fillable = ['first_name', 'last_name', 'email']; 
} 

這不是查詢生成器問題。這是您在查詢生成之前很久才解決的問題。

Answer 2

在PHP端，有一個白名單，如：

if(!in_array($_POST['field'],array(
'every','field','this','user','is','allowed','to','edit' 
))){ 
die("you do not have access to modify field ".htmlentities($_POST['field'],ENT_SUBSTITUTE)); 
} 
$st=$db->prepare("UPDATE table SET ".$_POST['field']." = ?"); 
$st->execute(array($_POST['newData'])); 

和js方：

var xhr=new XMLHttpRequest(); 
xhr.open("POST","?"); 
var fd=new FormData(); 
fd.set("newData","foobar"); 
fd.set("field","allowed"); 
xhr.send(fd);//no problem! "allowed" is in the whitelist! 
fd.set("field","password"); 
xhr.send(fd);//error! you do not have access to modify field "password"!