0
我有我想這個消毒SQL查詢:如何清理查詢?
SELECT * FROM navigation_$cat ORDER BY parent ASC, prio ASC
的問題是,我不能得到$貓越快,因爲它正在通過AJAX發送,並指出需要訪問的數據庫。我如何創建比簡單地將字符串放在一起更安全的PDO語句?
Q
如何清理查詢?
A
回答
2
您可以實現一個白名單,但另一種選擇將是檢查使用有效輸入:
SHOW TABLES LIKE :tblname
和'navigation_'.$cat作爲參數。檢查它是否只返回一個表,並且返回的表完全匹配傳遞的參數。
一旦完成,您就知道注入查詢是安全的,因爲您已經確定它確實是一個有效的表名。
這就是說,「從未知事件表中動態選擇」通常表明您正在設計數據庫時出錯,並且您應該只有一個navigation表,其中包含category列。
+0
感謝您的提示!我其實已經有了一張分類表,我只是覺得我可以跳過這一點。現在更改我的代碼,以便正常工作。謝謝! – smiet
相關問題
- 1. 清理LDAP_bind查詢
- 2. 如何從sqlplus查詢「清理」輸出?
- 3. 我如何清理下面的查詢?
- 4. 清理Mysql更新查詢
- 5. 清理查詢字符串
- 6. 理清從SQL查詢
- 7. Linq-to-XML:查詢清理
- 8. 如何清空href查詢
- 9. laravel清理空查詢變量
- 10. 清理Python中的sqlite查詢
- 11. ZF2爲DB查詢清理變量
- 12. SocialEngine數據庫查詢清理
- 13. T-SQL查詢來清理VARCHAR列
- 14. 書寫清潔整理PostgreSQL/PostGIS查詢
- 15. .htaccess:清理查詢字符串
- 16. 如何在zend中清理/釋放數據庫查詢內存?
- 17. 如何清理這個特定的mysql查詢?
- 18. 如何清理C語言中的SQL查詢?
- 19. 如何使用whereRaw()來清理Laravel查詢?
- 20. 如何清除查詢錯誤?
- 21. 如何清除緩存的查詢?
- 22. 查詢緩存...如何清除?
- 23. 如何清除MySQL查詢型材
- 24. 如何清除firebird查詢緩存?
- 25. 如何管理查詢?
- 26. 如何處理\查詢mysql
- 27. 如何處理MySQL查詢
- 28. 如何處理查詢?
- 29. CASE查詢澄清
- 30. 摸不清查詢
'$ cat'從哪裏來? – BenM
[我不相信你可以使用PDO參數化表名。](https://stackoverflow.com/q/11312737/2191572)你可以/應該爲'$ cat'建立一個可接受的值的白名單,並檢查'$ cat'在構建查詢字符串之前位於白名單中。 – MonkeyZeus
檢查$ cat是否在期望值列表中 –