提高DB INSERT的安全性

Question

目前，我有一個PostGIS DB，我的基礎工作。但是，我使用pg_query直接插入數據庫。我被建議使用pg_query_params來幫助防止SQL注入，但我不確定如何實現這一點。以下是我當前網站位置的insert聲明的簡要示例。例如，我將如何利用pg_query_params這個例子？我知道我將不得不實施進一步的安全措施，但這是一個起點。

編輯：我打算使用drupal窗體API，但它給了我頭痛。我意識到這會自動做很多這些東西。

$sql = "INSERT INTO sites_tbl (river_id ,sitename ,the_geom) VALUES ('$_POST[river_id]','$_POST[sitename]',st_geomfromtext('POINT($geomstring)',27700))"; 
$result = pg_query($sql); 

Answer 1

由於您使用的是字符串而非參數，因此您的示例容易受到SQL注入的影響。最好避免使用pg_函數。你的情況也有，你需要考慮兩件事情：

• 瞭解Drupal的API（考慮您正在使用的Drupal，這將是最好的代碼的一致性

或

• 使用stored procedures
• 使用庫如PDO或pg_query_params其中照顧parameterized queries

通常情況下，除了PDO之外，還使用存儲過程，但不幸的是，由於代碼太多，所以這種方法不可管理。我的建議是儘可能多地使用存儲過程。