php mysql adodb

Question

我正在使用PHP和adodb，但是遇到了一个很大的问题。我正在使用adodb来加速开发，这样我就可以做如下事情：

$r["Name"] = $_POST['txtName'];

if ($_POST["ID"] != "")
  $conn->AutoExecute("content", $r, 'UPDATE', 'AutoID = ' . $_POST["ID"]);      
else
  $conn->AutoExecute("content", $r, 'INSERT');

但是，如果名称中有一个单引号，则会使用斜杠将其保存到db中！因此，如果名称是证言，它将保存为证言，这给我带来了巨大的问题，有没有什么我可以避免的，但仍然像上面这样编程，因为它比准备insert / update语句要快得多。

干杯

Answer 1

这个问题的正确和最终解决方案由两部分组成：

1. 在您的代码中以编程方式禁用所有magic_quotes。这样可以确保您有一个已知的配置可以使用，如果/当管理员在访问database!

之前更改所有传入的用户输入时，该配置不会被破坏

虽然第一部分是好的编程，但第二部分对于编写安全的应用程序是绝对必要的！

引用用户输入有两种方法：

手动

1. (使用AdoDB的qstr或Quote)，在这种情况下，您必须非常非常小心，以免遗漏任何内容。对于小项目来说，这是非常可行的，我在过去已经做过很多次了，
2. 使用带绑定变量的预准备语句来进行查询。这确保只要您正确指定变量类型，就不会在您的应用程序中出现SQL注入，而且比第一种方法更不容易出错。这是我一段时间以来一直在做的事情。

更新：

如果您使用预准备语句，您可能会发现AdoDB不会给您带来太多好处，而且您可以使用PDO完成大部分工作。当你需要一些“自动的”东西时，你可以自己编写一些特定于应用程序的函数。根据我的经验，这只是比包含AdoDB的工作量多一点，总体上要好一些。

Answer 2

感谢您的输入，我决定使用此函数在运行时启用魔术引号：

if (get_magic_quotes_gpc()) {
    function stripslashes_gpc(&$value)
    {
        $value = stripslashes($value);
    }
    array_walk_recursive($_GET, 'stripslashes_gpc');
    array_walk_recursive($_POST, 'stripslashes_gpc');
    array_walk_recursive($_COOKIE, 'stripslashes_gpc');
    array_walk_recursive($_REQUEST, 'stripslashes_gpc');
}

然而，这会导致SQL注入吗？