我正在构建一个数据库类,并认为合并某种形式的sql注入预防是个好主意(呃!).这是运行数据库查询的方法:
class DB
{
var $db_host = 'localhost';
var $db_user = 'root';
var $db_passwd = '';
var $db_name = 'whatever';
function query($sql)
{
$this->result = MysqL_query($sql,$this->link);
if(!$this->result)
{
$this->error(MysqL_error());
} else {
return $this->result;
}
}
}
课堂上还有更多,但我只是因为这个而削减它.我面临的问题是如果我只使用MysqL_real_escape_string($sql,$this-> link);然后它会转义整个查询并导致sql语法错误.如何动态查找需要转义的变量?我想避免在我的主代码块中使用MysqL_real_escape_string(),我宁愿在函数中使用它.
谢谢.
最佳答案
问题是,当你构建一个SQL查询时,通过查找变量来防止注入为时已晚 – 否则它已经内置到PHP中.
但是,我建议采用不同的方法 – 这是一个提供数据库表作为对象的层,这里是一个示例user object,它是从base db entity class派生的,它提供了使用active record pattern和iterator pattern的数据库的完整接口.
我将通过一些例子说明这一点;这里整洁的东西是迭代器,因为你可以抽象出更多,并在线上提供一些非常通用的类来提取数据.
$user = new DbUser();
$user->create();
$user->set_email('test@example.com');
$user->write();
要读取用户记录:
$user = new DbUser();
$user->set_email('text@example.com');
if ($user->load_from_fields())
{
}
迭代记录:
$user_iterator = DbUser::begin();
if ($user_iterator->begin())
{
do
{
$user = $user_iterator->current();
echo $user->get_email();
} while ($user_iterator->next());
}