将数组中的$ _POST数据直接插入MySQL语句有多安全？

I have created a simple function to post data into a mysql table using a function and an array. The array is built from $_POST items on a form. What I would like to know is: Are there potential security holes that I am not seeing?

Here is the function:

            public function add_sql_data($table,$array){
            $tot = count($array);
            $c=0;
            foreach($array as $k => $v){
                $fields = $fields.$k;
                $values = $values."'".$v."'";
                $c++;
                if($c < $tot){
                    $fields = $fields.","; 
                    $values = $values.","; 
                }
            }
            $sql = "INSERT INTO ".$table."(".$fields.") values(".$values.")";
            if (mysql_query($sql)){
                return "succesfull";
            }else{
                return "error";
            }
        }

I have tried to use the small amount of PHP I know to create a SQL injection, but it seams to me that the array is actually stopping any harmful syntax to run. Thanks!!

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

4条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongxiaoshe0737 2012-09-22 08:41
关注
Not safe at all

In the sql in the question - there is no sanitization or escaping. Consider what will happen with individual form inputs like this:

'and he said "no way jose"'

'blah ")'

'"), (select field from table limit 1))--'

In the first, there's going to a syntax error of some sort, and also in the second.

The 3rd is just a hint at the tip of an iceberg of the sort of injection you are making possible. Here, we're injecting the value of another table into this insert statement, if that field is visible to the end user they can do things like this to explore your database and gain access to information they shouldn't be able to see. Just google sql injection and you'll find an endless list of examples.

The right way

You really, really should be using PDO and preferably prepared statements instead of the older mysql_* functions.

An example of something similar to what you're doing that is safe from injection is:

$dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass); $stmt = $dbh->prepare("INSERT INTO table (name, value) VALUES (?, ?)"); $stmt->bindParam(1, $name); $stmt->bindParam(2, $value); // insert one row $name = 'one'; $value = 1; $stmt->execute();

In this way, it doesn't matter what $name or $value are - they will be escaped appropriately.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(3条)

报告相同问题？

关注问题

将数组中的$ _POST数据直接插入MySQL语句有多安全？ mysql php
2012-09-22 07:13

回答 4 已采纳 Not safe at all In the sql in the question - there is no sanitization or escaping. Consider what
如何从$ _POST数组中删除元素？ html php xhtml
2012-06-12 05:51

回答 2 已采纳 simply go: unset($_POST['field']);
如何遍历$ _FILES数组的多维数组 php
2019-03-10 12:00

回答 4 已采纳 You can use this: $keys = array_keys($_FILES); // get all the fields name $res = array_map(null,
头歌MySQL数据库实训答案有目录
2021-12-04 19:58

出色的你csdw的博客计算机系统综合实训头歌MySQL数据库实训平台作业，内容比较全比较多，内容仅供参考，如有错误部分希望联系我跟正，觉得有用记得点赞收藏。数据库1-MySQL数据定义与操作实战数据库2-MySQL数据管理技术实战数据库3-...
为什么PHP无法从Js FormData获取$ _POST数据？ php
2019-04-22 03:33

回答 2 已采纳 Can you try to run this code in your local machine? Make a file name 55788817.php and paste this
PHP $_POST获取的数据显示 Undefined array key 是什么原因呢 javascript php
2021-10-17 13:25

回答 3 已采纳知不知道explode的用法explode，接收一个字符串，你这个里面是根据 @转换成数组你前端传的数据是数组类型，explode怎么执行？把前端第四行 new Array 去掉
从$ POST数组接收数据 php
2016-03-15 20:00

回答 1 已采纳 You have to use the index to get the specific items: echo $_POST["test"][0]; echo $_POST["test"][
【大数据面试】MySQL面试题与答案
2023-12-20 17:36

话数Science的博客数据库中的事务是什么，MySQL中是怎么实现的 MySQL事务的特性? 数据库事务的隔离级别?解决了什么问题?默认事务隔离级别? 脏读，幻读，不可重复读的定义 MySQL怎么实现可重复读? 数据库第三范式和第四范式区别? ...
如何循环三维数组以将数据插入数据库？ mysql php
2018-05-06 19:29

回答 2 已采纳 You have to echo the sql variable inside the foreach loop like this. foreach ($_POST as $data =&g
为什么$__POST['width']前后要加两个点，还要加单引号? php
2017-07-14 01:22

回答 2 已采纳 ``` 点是php字符串连接的符号，和其他语言的字符串连接不一样，如C#，js是+号，vbs是& 这么基础的，楼主去找本基础的php书来看 ```
高效的PHP代码将数组数据插入mysql表？ mysql php
2012-10-10 18:35

回答 2 已采纳 Try this, with bound parameters and PDO. <?php require ('Connections/local.php'); $wx = array
数据安全与网络安全——基于php+MySql实现简易留言板（附全资料超级详细！）
2023-09-30 21:40

星川皆无恙的博客这篇文章是基于PHP和MySQL实现的一个简易留言板。该留言板具有用户注册、登录、发表留言以及查看留言等功能。首先，用户可以通过注册功能创建自己的账号，然后使用该账号进行登录。登录成功后，用户可以发表留言，...
使用PHP预处理语句将数组插入MySQL数据库 mysql php
2016-05-04 22:14

回答 1 已采纳 Instead of replacing variable value you have to concatenate $changes = ''; foreach($_POST['chang
CDC实战：MySQL实时同步数据到Elasticsearch之数组集合(array)如何处理【CDC实战系列十二】
2024-03-25 16:23

下午喝什么茶的博客 1、mysql数据同步到es，insert语句可以正常同步，且pipeline生效了。 2、update语句可以正常同步，但是pipeline失效了。排查发现是因为同步sink脚本中设置了"write.method":"upsert"导致索引设置的pipeline失效了。
mysql json php 直接使用_PHP面试题大全（值得收藏）
2020-11-21 13:58

weixin_39925813的博客 PHP的运行环境最优搭配为Apache+MySQL+PHP，此运行环境可以在不同操作系统(例如windows、Linux等)上配置，不受操作系统的限制，所以叫跨平台2、WEB开发中数据提交方式有几种？有什么区别？百度使用哪种方...
没有解决我的问题, 去提问

悬赏问题

¥15 全部备份安卓app数据包括密码，可以复制到另一手机上运行
¥15 Python3.5 相关代码写作
¥20 测距传感器数据手册i2c
¥15 RPA正常跑，cmd输入cookies跑不出来
¥15 求帮我调试一下freefem代码
¥15 matlab代码解决，怎么运行
¥15 R语言Rstudio突然无法启动
¥15 关于#matlab#的问题：提取2个图像的变量作为另外一个图像像元的移动量，计算新的位置创建新的图像并提取第二个图像的变量到新的图像
¥15 改算法，照着压缩包里边，参考其他代码封装的格式写到main函数里
¥15 用windows做服务的同志有吗

将数组中的$ _POST数据直接插入MySQL语句有多安全？

4条回答 默认 最新

Not safe at all

The right way

悬赏问题

4条回答默认最新