防止SQL注入

Question

我知道下面的代码是开放的注入，但我不知道什么最好的方式来解决它。最好是重复$new_id行，还是应该做更多的事情？

控制器：

public function ajax_update_product_youtube()
{
    if($_POST)
    {
        $id = $_POST['id'];
        $new_id = mysql_real_escape_string(trim($_POST['new_id']));
        $table = SITE_REF.'_ps_products';
        if($new_id != "")
        {
            $this->Ps_products_model->update_product_youtube($table, $id, $new_id);
        }                           
    }
}

模型：

public function update_product_youtube($table, $id, $new_id)
    {
        $table = $this->_table_products;
        $this->db->query("
            UPDATE $table SET $table.youtube='$new_id' WHERE $table.id='$id'
        ");
    }

Answer 1

使用CodeIgniter的活动记录(Query，3.0)，或者使用查询绑定。

活动记录：

$this->db->where('id', $id)->update($table, array('youtube' => $new_id));

查询绑定：

$this->db->query("UPDATE {$table} SET youtube = ? WHERE id = ?", array($new_id, $id));

你还应：

• 永远不要相信用户的输入。在到达DB查询之前对其进行验证和净化。
• 不能像这样使表名动态化。虽然这样做在技术上没有什么“错误”，但它给自己带来了更多的工作。不要重复你自己，保持简单。