mysql（i）_real_escape_string，安全依賴？

Question

function Query() 
{ 
    $args = func_get_args(); 

    if (sizeof ($args) > 0) 
    { 
     $query = $args[0]; 

     for ($i = 1; $i < sizeof ($args); $i++) 
       $query = preg_replace ("/\?/", "'" . mysql_real_escape_string ($args[$i]) . "'", $query, 1); 
    } 
    else 
    { 
      return FALSE; 
    } 

我有這樣的功能。基本上，我做出這樣的查詢：

$this->Query('SELECT * FROM USERS WHERE Username = ? AND Points < ?', $username, $points); 

它目前支持棄用mysql功能，但適應mysqli會在我的類mysqli更換mysql一樣簡單。

這是一個安全的方法來依靠對SQL注入攻擊？每個問號都被mysql_real_escape_string自動消毒，我從來沒有遇到過問題，但是我應該使用mysqli_real_escape_string進行消毒？

我知道的mysqli的預處理語句，但使用bindParam每個變量似乎有點矯枉過正了我。

您認爲如何？

Answer 1

一個真正偉大的一天 - 第二好的嘗試建立一排一個合理的數據庫抽象層。

我應該使用mysqli_real_escape_string進行消毒嗎？

沒有。
只因爲此功能不消毒任何東西。

但轉換爲格式 SQL字符串文字這個函數是必須的，無法避免或替換。
所以，你正在正確使用這個功能，格式化字符串只有並格式化它們無條件。
所以，你有你的疑問完全安全，只要你可以使用？標記來替換實際數據（並且 - 甚至可以讓挑剔的投訴空閒 - 只要您使用mysql(i)_set_charset()函數設置SQL編碼）。

如果有人致電您的方法破 - 只是要求他們證明代碼的完整片段顯示一定的脆弱性。

但是，請讓我將您的注意力放在一些重要的事情上。

1. 動態SQL查詢零件不僅限於字符串。例如，這兩個查詢將不會與您的功能一起使用：

   SELECT * FROM table LIMIT ?,? 
   SELECT * FROM table ORDER BY ? 
   

   只是因爲數字和標識符要求不同的格式。
   所以，最好使用類型暗示佔位符，告訴你的功能，適用

2. 要運行一個查詢只是工作的一部分的格式。你也需要得到結果。爲什麼不讓他們已經，而不用不必要的電話膨脹你的代碼？
3. 應該有一種方法來插入文字？標記爲查詢而不解析它們。

請看看my class，它建立在與您的原理完全相同的原則上，但是我在上面提到了一些改進。我希望你會發現它有用或至少值得借鑑一兩個想法。

Answer 2

使用綁定的參數是不矯枉過正，並應符合規定。它會更有效地逃脫並準備好你的參數。

$stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)"); 
mysqli_stmt_bind_param($stmt, 'sssd', $code, $language, $official, $percent); 

$code = 'DEU'; 
$language = 'Bavarian'; 
$official = "F"; 
$percent = 11.2; 

/* execute prepared statement */ 
mysqli_stmt_execute($stmt); 

這是否真的看起來矯枉過正？

Documentation

Answer 3

，如果你現在使用的mysqli爲mysql。最好使用mysqli_real_escape_string。 請注意參數順序已被修改。 （％和_仍然沒有逃脫）今天