准备好的语句不允许参数化表名。为了确保不能插入任何代码,我想使用 ctype_alnum 来验证进入数据库模块的所有表名(删除下划线后),以保护应用程序免受其他部分的错误影响。
function insert($table) {
if(!ctype_alnum(str_replace("_", "", $table)))
throw new Exception("Invalid table name");
$sql = "INSERT INTO $table VALUES value=:value";
#... prepare and execute
}
是否存在这不足以抵御的攻击?我在考虑例如 multibyte character exploits
最佳答案
我不知道在这种情况下有什么攻击有效,但我不会像你那样做,因为 $table
也可以包含可能不存在的表。
你应该有你接受的 $tables
白名单,所以我会这样做:
function insert($table)
{
$table = trim($table);
if (!ctype_alnum(str_replace("_", "", $table))
|| !in_array($table, $this->tables)
) {
throw new Exception("Invalid table name");
}
$sql = "INSERT INTO $table VALUES value=:value";
echo $sql;
#... prepare and execute
}
它将确保您的代码是安全的,如果有人拼错了表名,您甚至不会尝试执行代码。实际上,在这种情况下,您可以在检查白名单数组中是否存在值时从条件中删除
ctype_alnum
。关于php - ctype_alnum 对抗 SQL 注入(inject),我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/25747875/