Kan någon berätta för mig om det är säkert eller om det är sårbart för SQL Injection attack eller andra SQL-attacker?
Nej. Som uri2x säger, se SQL-injektion som tar sig runt mysql_real_escape_string()
.
Det bästa sättet att förhindra SQL-injektion är att använda förberedda satser. De separerar data (dina parametrar) från instruktionerna (SQL-frågesträngen) och lämnar inget utrymme för data att förorena strukturen i din fråga. Förberedda uttalanden löser ett av de grundläggande problemen med programsäkerhet .
För situationer där du inte kan använda förberedda satser (t.ex. LIMIT ), att använda en mycket strikt vitlista för varje specifikt ändamål är det enda sättet att garantera säkerhet.
// This is a string literal whitelist
switch ($sortby) {
case 'column_b':
case 'col_c':
// If it literally matches here, it's safe to use
break;
default:
$sortby = 'rowid';
}
// Only numeric characters will pass through this part of the code thanks to type casting
$start = (int) $start;
$howmany = (int) $howmany;
if ($start < 0) {
$start = 0;
}
if ($howmany < 1) {
$howmany = 1;
}
// The actual query execution
$stmt = $db->prepare(
"SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}"
);
$stmt->execute(['value']);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);
Jag påstår att ovanstående kod är immun mot SQL-injektion, även i obskyra edge-fall. Om du använder MySQL, se till att du inaktiverar emulerade förberedelser.
$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);