dongtan3395 2012-02-16 11:29
浏览 270
已采纳

如何保护ODBC查询免受SQL注入

What would be the best way to protect this query from sql injection? This example is just an example, I've read a few articles on internet but can't get my head around parametrised queries. Any links to useful articles will get a vote up but I think seeing this example would help me best.

$id = $_GET["id"];
$connection = odbc_connect("Driver={SQL Server};Server=SERVERNAME;Database=DATABASE-NAME;", "USERNAME", "PASSWORD");
$query = "SELECT id firstname secondname from user where id = $id";
$result = odbc_exec($connection, $query);
while ($data[] = odbc_fetch_array($result));
odbc_close($connection);

Thanks,

EDIT: I didn't make it obvious but I'm using SQL Server not mysql. This is just an example, it won't always be a number I'm searching on. It would be nice if the answer used parametrised queries as many people suggest this and it would be the same for all query's instead of different types of validation for different types of user input.

  • 写回答

4条回答 默认 最新

  • douren2831 2012-02-16 11:44
    关注

    Use prepared statements. First build a statement with the odbc_prepare() function, then pass the parameters to it and execute it using odbc_execute().

    This is much more secure and easier than escaping the string yourself.

    Lewis Bassett's advice about PDO is good, but it is possible to use prepared statements with ODBC without having to switch to PDO.

    Example code, untested!

    try {
  $dbh = new PDO(CONNECTION_DETAILS_GO_HERE);
  $query = 'SELECT id firstname secondname from user where id = :id';
  $stmt = $dbh->prepare($query);
  $stmt->bindParam(':id', $id, PDO::PARAM_STR);
  $result = $stmt->execute();
  $data = $stmt->fetchAll();
} catch (PDOException $e)
  echo 'Problem: ', $e->getMessage;
}

    Note: $e->getMessage(); may expose things you don't want exposed so you'll probably want to do something different on that line when your code goes live. It's useful for debugging though.

    Edit: Not sure if you wanted a PDO or ODBC example but it's basically the same for both.

    Edit: If you're downvoting me please leave a comment and tell me why.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(3条)

报告相同问题?

  • 4.7.5.0-测试 SQL 注入
    2023-10-19 09:46
    开启学习模式的博客 #总结SQL 注入测试检查是否可以将数据注入应用程序,以便它在数据库中执行用户控制的 SQL 查询。如果应用程序使用用户输入创建 SQL 查询而没有进行适当的输入验证,测试人员会发现 SQL 注入漏洞。成功利用此类漏洞将...
  • odbc php无法使用_开始在PHP中使用ODBC
    2020-07-03 18:06
    cuxiong8996的博客 PHP是用于动态网站开发的最常用编程语言之一。 它相当强大和高效。 它也很简单,并且由于它的灵活性而成为初学者的好语言。 PHP本身就是一种很好的语言(尤其是与XHTML结合使用时)。 但是,大多数应用程序都需要...
  • SQL注入漏洞,攻防必杀技!
    2015-10-29 16:19
    csdn小松鼠的博客 SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级“黑客”喜欢采用的攻击方式,近来网上对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻击。攻击源于程序漏洞 SQL注入...
  • SQL注入神器SQLMAP介绍及详细使用说明
    2018-02-23 09:46
    潜行100的博客 文章转载自:http://blog.csdn.net/qq240263894/article/details/710765750x 00 前言 正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来.... PS:国内类似软件也有阿D,明小子,挖掘机,当你用过他们之后...
  • SQL注入回顾篇(四)
    2019-03-01 09:21
    JBlock的博客 此系列来由是想留一点东西,把所学知识整理一下,同时也是受github上Micro8分享的启发,故想做一些工作,以留后人参考,历时两个星期,第一系列SQL注入回顾篇出炉!内容分四节发布,其中SQL注入代码审计为两节,WAF...
  • 安全交流:浅谈sql注入式(SQL injection)攻击与防范
    2015-04-26 17:38
    起个马甲好困难的博客 没有系统的学习过asp或者php编程,也没有系统的学习过access、sqlserver、mysql等数据库,所以我不是一个程序员,虽然经常干一些类似程序员的事情。 因为要建立自己的站点,3次改版下来,多少也写了几千行程序,...
  • SQL注入测试实例分析
    2015-06-25 13:20
    yiluyangguang1234的博客 本文详细讲述了 sql注入的原理及防范技巧,目的是让初学者利用SQL注入技术来解决他们面临的问题, 成功的使用它们,并在这种攻击中保护自己。希望能对大家有所帮助。 一、 介绍  当一台机器只打开了80端口, 你...
  • PHP访问MYSQL数据库的实现_易竞
    2013-03-14 20:27
    在实际开发中,还需要考虑安全性问题,例如防止SQL注入攻击,使用预处理语句(prepared statements)和参数化查询来提高安全性。 总结来说,PHP因其简洁、跨平台、高性能和丰富的功能支持,成为了动态网站开发中的...
  • 为什么应该使用 PHP 的 PDO 进行数据库访问
    2022-04-11 21:34
    allway2的博客 许多 PHP 程序员学会了如何使用 MySQL 或 MySQLi 扩展来访问数据库。从 PHP 5.1 开始,有一个更好的方法。PHP 数据对象(PDO) 为准备好的语句和...本教程并非旨在提供有关 SQL 的完整方法。它主要是为当前使用mysqlor...
  • 开始通过 PHP 使用 ODBC
    2012-02-08 11:16
    weixin_33790053的博客 在将未知变量注入 SQL 中时,odbc_prepare() 和 odbc_execute 函数非常有用。odbc_prepare() 函数为数据库管理系统准备了一个 SQL 语句,然后 odbc_execute() 函数会在变量中发送该语句。这意味着它比使用 PHP 建立...
  • 没有解决我的问题, 去提问