如何在Yii 1.1中保护原始sql CDbCriteria条件（反sql注入）？

I'm dealing with an Yii 1.1 app.

Part of the search method use CDbCriteria and raw sql.

I was wondering how can I still use the raw sql code and make it more secure from sql injections?

Here is a code example:

if (!empty($this->textToSearch)) {
    $text_condition = <<<EOC
(
    topic LIKE "%{$this->textToSearch}%" OR
    main LIKE "%{$this->textToSearch}%" OR  
)
EOC;
    $criteria->addCondition($text_condition);
}

Any suggestions?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dsbruqxgt820011351 2018-04-26 10:00
关注
You should use params to pass untrusted data to query. Note that %, _ and \ chars has special meaning in SQL query, so you need to escape it too.

$criteria = new CDbCriteria(); if (!empty($this->textToSearch)) { $text_condition = <<<EOC ( topic LIKE :text_to_search OR main LIKE :text_to_search ) EOC; $criteria->addCondition($text_condition); $textToSearch = strtr($this->textToSearch, [ '%' => '\%', '_' => '\_', '\\' => '\\\\', ]); $criteria->params[':text_to_search'] = "%{$textToSearch}%"; }
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

如何在Yii 1.1中保护原始sql CDbCriteria条件（反sql注入）？ php sql
2018-04-26 09:38

回答 1 已采纳 You should use params to pass untrusted data to query. Note that %, _ and \ chars has special mean
yii CDbCriteria选择不工作？ php
2014-12-19 12:06

回答 1 已采纳 The default table alias is t unless set explicitly. You can do this by: $criteria->alias = 'li
Yii mergeWith（）在多对多关系中 database php sql
2013-12-02 18:16

回答 1 已采纳 In AND case you can join flatoptions N times (how many params passed), and use the code similar to
yii1.1mysql操作_yii1.1活动记录ActiveRecord使用方法总结
2021-03-07 09:26

weixin_39571404的博客每个 AR 类代表一个数据表(或视图)，数据表(或视图)的列在 AR 类中体现为类的属性，一个 AR 实例则表示表中的一行。常见的 CRUD 操作作为 AR 的方法实现。因此，我们可以以一种更加面向对象(面向AR对象)的方式访问...
Yii CGridView无法显示自定义SQL属性 php
2014-03-31 01:47

回答 1 已采纳 You will also have to add the attribute to your model to be able to use it as a column in your CGr
php yii从查询中获取列结果 php sql
2012-09-19 11:58

回答 1 已采纳 You can get value by following way: $fixedAsset=FixedAsset::model()->findAll($criteria); $id
YII中的addBetweenCondition php sql
2014-10-13 11:49

回答 1 已采纳 Add compare condition like below $criteria->compare('trait_value_lower', 16, false, '>'); $
yii1.1mysql操作_YII1 增、删、改、查数据库操作
2021-03-07 09:24

track Yang的博客 //在调试的状态下可以使用$objectPost->getErrors()来打印数据模型错误信息 } 删根据条件删除集合 deleteAll($condition='',$params=array()); $condition = 'username=:name and password=:pass'; $params = array...
Yii中对数据库的错误请求？ php
2014-06-12 11:16

回答 2 已采纳 It should be rewritten as: $criteria = new CDbCriteria(); // Select a fields from the da
Yii CDbCriteria添加了不需要的别名 mysql php
2014-10-16 12:48

回答 1 已采纳 Use this $criteria = new CDbCriteria(); $criteria->select= '`yourAlias`.`id`'; $c
如何在CActiveDataProivder中添加模型别名yii php
2014-08-27 10:14

回答 2 已采纳 $criteria = new CDbCriteria; $criteria->compare('t.type' => "ABC"); $criteria->with=
yii selenium php,Yii1.1 笔记
2021-05-07 06:03

weixin_39928686的博客 $connection=Yii::app()->db;// 假设你已经建立了一个 "db" 连接// 如果没有，你可能需要显式建立一个连接：// $connection=new CDbConnection($dsn,$username,$password);// $command=$connection->...
与Yii合作，有没有办法通过CDbCriteria添加AS来查询 jquery mysql php
2013-05-15 22:32

回答 1 已采纳 You can set alias in select clause: $criteria->select = array( 'id as user_id', );
Yii中 CDbCriteria with join 聚合查询
2021-08-10 09:30

华大哥的博客在yii里面我们会经常使用到聚合函数来查询语句，在relations定义好关联关系后基于可以使用了。比如我们使用 yii CDbCriteria的join , group 来进行连表查询，这种情况下我们是不需要定义relations的关联关系的： ...
yii框架中打印sql语句
2019-03-06 17:51

·氓的博客 $query->createCommand()->getRawSql();
没有解决我的问题, 去提问

悬赏问题

¥15 树莓派与pix飞控通信
¥15 自动转发微信群信息到另外一个微信群
¥15 outlook无法配置成功
¥30 这是哪个作者做的宝宝起名网站
¥60 版本过低apk如何修改可以兼容新的安卓系统
¥25 由IPR导致的DRIVER_POWER_STATE_FAILURE蓝屏
¥50 有数据，怎么建立模型求影响全要素生产率的因素
¥50 有数据，怎么用matlab求全要素生产率
¥15 TI的insta-spin例程
¥15 完成下列问题完成下列问题