SQL注入保護 - 何時何地

Question

我正在構建一個網站，該網站使用通過URL傳遞的信息從數據庫表中挑選信息，但引起了我的注意，這樣做可能會導致SQL注入。正如我以爲這只是一個問題，你是插入信息到數據庫中，我有點困惑，你應該保護你的代碼的時間，方式和位置。

目前，我有一個網址，它看起來像：

www.website.com/article.php?title=title&id=1 

這是htaccess的縮短www.website.com/article/title/1

在我article.php頁我那麼有：

<?php 
if(isset($_GET["id"])){$url_id = $_GET["id"];}else{ 
header("Location: $site_url"); 
exit(); 
}; 
?> 
<?php 
if(isset($_GET["title"])){$url_title = $_GET["title"];}else{ 
header("Location: $site_url"); 
exit(); 
}; 
?> 
<?php 
$article_sql = "SELECT ... 

我目前使用mysqli_real_escape_string來防止SQL注入威脅，但我不確定在這裏使用它。我猜測加入...

... 
<?php 
if(isset($_GET["title"])){$url_title = $_GET["title"];}else{ 
header("Location: $site_url"); 
exit(); 
}; 
?> 
<?php 
$url_id = mysqli_real_escape_string($url_id); // ADDED 
$url_title = mysqli_real_escape_string($url_title); // ADDED 
?> 
<?php 
$article_sql = "SELECT 
... 

應該這樣做，但這是正確的嗎？

Answer 1

您已經在使用mysqli_，請充分利用它。以下是基於您提供的代碼的簡單示例：

<?php 
// $mysqli is the connection 
$article_sql = $mysqli->prepare("SELECT * FROM table WHERE url_id = ? AND url_title = ?"); 

$article_sql->bind_param("is", $url_id, $url_title); 
$article_sql->execute(); 

$result = $article_sql->get_result(); 
while ($row = $result->fetch_array(MYSQLI_NUM)) { 
    foreach ($row as $r) { 
    print "$r "; 
    } 
    print "\n"; 
}