0
我想使用CDbCriteira addInCondition()獲取多個輸入參數(數字未預定義)。此方法是否構成參數化查詢? 我發現這個有爭議的想法:CDbCriteria中的addInCondition()方法「SQL注入證明」?
而且我已經看了the addInCondition() method specification,我不能得到清晰不過。
A
回答
0
的這部分代碼:
$condition=$column.'='.self::PARAM_PREFIX.self::$paramCount;
$this->params[self::PARAM_PREFIX.self::$paramCount++]=$value;
似乎是用於存儲參數化的值。
然後在查詢生成器中,它將使用它們作爲編號參數。
我在一個我自己編寫的腳本中這樣做,我真的懷疑Qian(或其他什麼)會錯過它並留下代碼注入。
此外,你測試它嗎?您可以添加隨機SQL並查看它是否被轉義。
相關問題
- 1. 機器證明SQL注入
- 2. 是我的代碼SQL注入證明?
- 3. ZEND_DB_TABLE_ABSTRACT方法SQL注入
- 4. Yii addInCondition
- 5. 的Yii - addInCondition
- 6. SQL注入法
- 7. SQL注入測試的正確方法
- 8. 在Visual Studio註釋中證明文本的方法?
- 9. Yii的CDbCriteria加入
- 10. 防止SQL注入:我如何使這個查詢注入證明
- 11. SQL注入預防 - 單行方法?
- 12. 通過使用YII CDbCriteria或find()方法執行此SQL的更好方法?
- 13. 我如何使這個查詢sql注入證明?
- 14. 這是Coldfusion查詢SQL注入證明嗎?
- 15. 我將如何製作此PHP腳本SQL注入證明?
- 16. 此查詢是否爲注入證明?
- 17. 加入Yii class CDBCriteria?
- 18. 停止一個函數中的所有SQL注入的方法?
- 19. 春方法注入
- 20. 證明 - 最佳方法
- 21. exec sql避免sql注入的替代方法是SP_EXECUTESQL?
- 22. Mysqli預備聲明(SQL注入預防)
- 23. 在PHP中避免SQL注入的最安全方法?
- 24. 在SqlDataAdapter中防止SQL注入的最佳方法
- 25. 學說queryBuilder:addOrderBy()方法中的SQL注入風險?
- 26. 允許在Fortify中處理SQL注入的方法
- 27. 注入文本的方法
- 28. 使用Ninject可以注入明確實現的方法嗎?
- 29. SQL注入證明SELECT和LIKE以及通配符到關聯數組中
- 30. 注入帶註釋的方法參數
我沒有測試,因爲我不能打破迄今綁定字符串參數(數量未知)。 – 2014-10-27 15:00:17