duanbeng6709 2018-04-26 09:38
浏览 228
已采纳

如何在Yii 1.1中保护原始sql CDbCriteria条件(反sql注入)?

I'm dealing with an Yii 1.1 app.

Part of the search method use CDbCriteria and raw sql.

I was wondering how can I still use the raw sql code and make it more secure from sql injections?

Here is a code example:

if (!empty($this->textToSearch)) {
    $text_condition = <<<EOC
(
    topic LIKE "%{$this->textToSearch}%" OR
    main LIKE "%{$this->textToSearch}%" OR  
)
EOC;
    $criteria->addCondition($text_condition);
}

Any suggestions?

  • 写回答

1条回答 默认 最新

  • dsbruqxgt820011351 2018-04-26 10:00
    关注

    You should use params to pass untrusted data to query. Note that %, _ and \ chars has special meaning in SQL query, so you need to escape it too.

    $criteria = new CDbCriteria();
if (!empty($this->textToSearch)) {
    $text_condition = <<<EOC
(
    topic LIKE :text_to_search OR
    main LIKE :text_to_search  
)
EOC;
    $criteria->addCondition($text_condition);
    $textToSearch = strtr($this->textToSearch, [
        '%' => '\%',
        '_' => '\_',
        '\\' => '\\\\',
    ]);
    $criteria->params[':text_to_search'] = "%{$textToSearch}%";
}
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • yii1.1mysql操作_YII1 增、删、改、查数据库操作
    2021-03-07 09:24
    track Yang的博客 //在调试的状态下可以使用$objectPost->getErrors()来打印数据模型错误信息 } 删 根据条件删除集合 deleteAll($condition='',$params=array()); $condition = 'username=:name and password=:pass'; $params = array...
  • yii1.1mysql操作_yii1.1活动记录ActiveRecord使用方法总结
    2021-03-07 09:26
    weixin_39571404的博客 每个 AR 类代表一个数据表(或视图),数据表(或视图)的列在 AR 类体现为类的属性,一个 AR 实例则表示表的一行。常见的 CRUD 操作作为 AR 的方法实现。因此,我们可以以一种更加面向对象(面向AR对象)的方式访问...
  • yii selenium php,Yii1.1 笔记
    2021-05-07 06:03
    weixin_39928686的博客 $connection=Yii::app()->db;// 假设你已经建立了一个 "db" 连接// 如果没有,你可能需要显式建立一个连接:// $connection=new CDbConnection($dsn,$username,$password);// $command=$connection->...
  • Yii CDBCriteria常用方法实例小结
    2020-10-20 14:23
    通过CDBCriteria,可以使用面向对象的方式来组合SQL查询的各个部分,例如选择条件、排序、分组和连接等。它允许开发者以对象的方式定义查询规则,然后使用Yii框架提供的方法来执行这些规则。下面将结合具体示例,...
  • yii框架打印sql语句
    2019-03-06 17:51
    ·氓的博客 $query-&gt;createCommand()-&gt;getRawSql();
  • Yii1.1 CActiveDataProvider 查询详解
    2018-05-02 09:21
    大洋PHP的博客 1、生成的search方法是这样的: public function search... $criteria=new CDbCriteria; $criteria-&gt;compare('id',$this-&gt;id,true); $criteria-&gt;compare('notice_type',$this-&gt;no...
  • Yii CDbCriteria with join 聚合查询
    2021-08-10 09:30
    华大哥的博客 yii里面我们会经常使用到聚合函数来查询语句,在relations定义好关联关系后基于可以使用了。 比如我们使用 yii CDbCriteria的join , group 来进行连表查询,这种情况下我们是不需要定义relations的关联关系的: ...
  • 1.1-Yii2.0 Yii2.0 对比 Yii1.1 的重大改进
    2015-03-24 17:03
    maclechan的博客 已有Yii1.1基础的读者朋友阅读。 将Yii2.0与Yii1.1的不同点着重写出来,对比学起来会快得多。 而对于从未接触过Yii的读者朋友,这部分内容扫一扫就可以了,作为对过往...Yii2.0大量使用了PHP的新特性,这在Yii1.1
  • Yii 打印Sql
    2014-11-19 22:41
    _xiaoxiong的博客 //1,在 ../config/main.php里增加'class'=>'CProfileLogRoute' 'log'=>array( 'class'=>'CLogRouter', 'routes'=>array( array( 'class'=>'CFil
  • Yii CDBCriteria常用方法
    2013-08-16 16:57
    SherlockGh的博客 Yii CDbCriteria 常用方法 注:$c = new CDbCriteria();是ActiveRecord的一种写法,使ActiveRecord更加灵活,而不是手册DAO(PDO)和Query Builder。 小小点评一下:感觉这部分手册做的一般。 链接...
  • Yii 2.0与Yii 1.1 的区别
    2014-11-08 15:51
    信仰Beliveself的博客 2.0 版框架是完全重写的,在 1.1 和 2.0 两个版本之间存在相当多差异。因此从 1.1 版升级并不像小版本间的跨越那么简单,通过本指南你将会了解两个版本间主要的不同之处。 如果你之前没有用过 Yii 1.1,可以跳过本...
  • 没有解决我的问题, 去提问