使用这个sql代码安全吗?
使用这个sql代码安全吗?
提问于 2017-02-26 21:09:28
像我在这段代码中使用的那样,使用变量作为列名安全吗?
public function SelectForum($column, $value) {
global $database;
$database->query('SELECT * FROM forums WHERE '.$column.' = :value');
$database->Bind(":value", $value);
$database->execute();
$ForumsData = $database->resultset();
$ForumsCount = $database->RowCount();
if($ForumsCount == 0) {
return null;
} else {
return $ForumsData;
}
}回答 2
Stack Overflow用户
回答已采纳
发布于 2017-02-26 21:14:26
这取决于$column的值来自何处。如果用户有任何可能与他们有任何关系,那么这是不安全的。
Stack Overflow用户
发布于 2017-02-26 21:16:27
假设$column来自用户输入,那么我至少会在函数一开始就列出允许搜索的列名的数组列表:
$searchable = array('title','username');
if(!in_array($column, $searchable)) {
trigger_error('Invalid column name!', E_USER_WARNING);
return null;
}页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/42474294
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号