dpdrtj1075 2011-12-05 18:18
浏览 71
已采纳

我可以将参数绑定到PDO语句作为比较运算符吗?

Is this code

class opinion
{
   private $dbh;
   var $opinionid,$opinion,$note,$actorid,$dateposted;
   var $isnew=FALSE;
   function loadby($column,$value,$operator="="){
       $dbh = new PDO(I deleted parameters here);
       $statement=$dbh->prepare("select * from fe_opinion where :column :operator :value");
       $statement->bindParam(":column", $column);
       $statement->bindParam(":value", $value);
       $statement->bindParam(":operator", $operator); //UNSURE, DOUBTFUL
       $statement->bindColumn("opinionid", $this->opinionid);
       $statement->bindColumn("opinion", $this->opinion);
       $statement->bindColumn("note", $this->note);
       $statement->bindColumn("actorid", $this->actorid);
       $statement->bindColumn("dateposted", $this->dateposted);
       $statement->fetch();
       return $statement->rowCount(); //please be 1
   }
}

injection safe?

       $statement->bindParam(":operator", $operator); //UNSURE, DOUBTFUL

Can I bind a parameter to a PDO statement as a comparison operator?

  • 写回答

4条回答 默认 最新

  • duanna2026 2011-12-05 18:25
    关注

    No, you cannot bind operators like that. As a workaround, you can dynamically create the "base" SQL query and use an operator whitelist (which is quite appropriate) to remain safe from injection:

    function loadby($column,$value,$operator="="){ 
   $dbh = new PDO(...); 
   $operator = getOperator($operator);
   if(!$operator) {
       // error handling
   }
   $statement=$dbh->prepare("select * from fe_opinion where :column $operator :value");
   // the rest like you already do it
} 

function getOperator($operator) {
   $allowed_ops = array('=', '<', '>'); // etc
   return in_array($operator, $allowed_ops) ? $operator : false;
}

    Apart from this, the rest is fine and injection-proof "by definition".

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(3条)

报告相同问题?

  • 我可以在SQL语句绑定运算符吗? mysql php
    2018-02-12 13:52
    回答 1 已采纳 $sql .= " WHERE userBalance :operator1 :amount"; You cannot bind an operator, as the DB engi
  • 如何使用PDO绑定参数方法将多行文本插入mysql? mysql php
    2018-08-09 19:43
    回答 1 已采纳 I think the problem is in what you are using to display the text. On my server with PHP7 and MySQL
  • 无法将参数绑定到WHERE子句PDO php postgresql sql
    2017-09-17 18:50
    回答 1 已采纳 As you can see on this link you the PDO's execute method returns boolean by definition. I would r
  • pdo mysql like_php – 使用带有%的LIKE运算符进行关键字搜索和PDO预处理语句
    2021-03-16 23:20
    不知盗的博客 我正在尝试使用PDO预处理语句编写关键字搜索.理想情况下,我想利用LIKE运算符来搜索字段值中的子字符串.这是我的代码:$statement = $this->db->prepare("select * from whatever where title like ? or author...
  • PHP PDO使用IN和WHERE运算符准备语句 php
    2016-08-10 00:48
    回答 1 已采纳 I believe the reason this is not working is because you are using both $stmt->bindParam(1, $va
  • 是否可以将PDO参数绑定到对象的成员变量? php
    2012-12-29 00:59
    回答 1 已采纳 PHP stores the reference of the variable to use it. When you call $qry->bindParam(1, $obj->q
  • mysql_到pdo:我做得对吗? mysql php
    2017-06-29 10:43
    回答 2 已采纳 You'we almost correct, you just missed the point of prepare() <?php // New PDO variant try
  • 防止 SQL 注入的 PHP PDO 准备语句教程
    2022-08-21 13:13
    allway2的博客 这是推荐的方法,您显然可以将您的字符集设置为您的应用程序需要的任何内容(尽管 utf8mb4 是相当标准的)。其中任何一种都可以完全接受,尽管 PDO 对大多数用户来说是更好的选择,因为它更简单、更通用,而 MySQLi ...
  • PDO参数绑定用于准备语句 mysql php
    2016-02-10 15:20
    回答 3 已采纳 Do it at execute time? $stmt->execute(array(':name' => $name, etc....)) Using the formal
  • PHP关联数组映射到PDO预处理语句 mysql php
    2016-10-07 21:51
    回答 1 已采纳 It's hard to debug SQL when you're staring at the PHP code that formats SQL, instead of the final
  • PHP PDO迁移到Laravel PDO会导致参数号无效 laravel mysql php
    2017-12-19 22:06
    回答 1 已采纳 For some reason, Laravel connections will not automatically use PDO::ATTR_EMULATE_PREPARES. Even i
  • PHP简单系统查询模块代码打包下载
    2020-12-17 20:19
    可以使用`mysqli_fetch_assoc()`或`fetch(PDO::FETCH_ASSOC)`获取一行作为关联数组,然后遍历所有行。 6. **PHP与Apache配置**:在服务器端,PHP通常与Apache web服务器一起工作。配置过程中,需要确保PHP模块已...
  • php连接mysql数据库代码
    2020-12-18 07:37
    5. **`mysql_connect()`的安全性和弃用**:由于`mysql_connect()`存在安全漏洞且不支持新的MySQL特性,如预编译语句参数绑定PHP团队已经在PHP 7.0版本中正式弃用该函数。现在推荐使用`mysqli`或PDO扩展进行...
  • PHP准备
    2021-02-15 06:16
    - **防止SQL注入**:使用预处理语句参数绑定来避免SQL注入攻击。 - **过滤用户输入**:对用户提交的数据进行验证和清理,防止跨站脚本(XSS)等攻击。 - **会话管理**:使用session进行用户身份验证和会话跟踪,...
  • php-practice:学习PHP和MySQL
    2021-02-13 08:47
    3. **SQL注入防护**:除预处理语句外,还可使用参数绑定等手段防止SQL注入。 **性能优化** 1. **缓存技术**:利用memcached或APC等工具进行数据缓存,减少数据库访问。 2. **代码优化**:避免冗余代码,合理使用...
  • mysql语句中添加php变量_如何在MySQL语句中包含PHP变量
    2021-01-19 23:17
    sdifan的博客 匿名用户在任何MySQL语句中添加PHP变量的规则非常简单明了:任何表示SQL数据文本(或者,简单地说,SQL字符串或数字)的变量都必须通过准备好... 要执行此操作:在SQL语句中,用占位符替换所有变量准备结果查询将变量绑...
  • PHP系列」PHP MySQL 创建数据库/创建表/插入数据
    2024-05-06 15:34
    ·零落·的博客 但是,如果你确实拥有足够的权限,并且出于某种原因需要在 PHP 脚本中执行此操作,你可以使用。这是一种更安全、更推荐的做法。要在 PHP 中使用 MySQL 创建数据表,你需要首先连接到 MySQL 数据库,然后执行一个 SQL...
  • lab_php-main
    2021-03-14 19:28
    11. **安全**:包括输入验证、SQL注入防御(预处理语句参数绑定)、XSS攻击防护(htmlspecialchars() 函数),以及密码哈希(password_hash() 和 password_verify())等。 12. **会话管理**:PHP 内置的 `session...
  • PHP5各个版本的新功能和新特性总结
    2020-10-26 03:24
    `list()`现在可以在`foreach`语句中直接用于数组解构。 ```php foreach ($array as list($key, $value)) { // ... } ``` ### PHP5.6的新特性: #### 1. 常量增强: 常量现在可以在类的属性中使用。 #### 2. 可...
  • PHP面试题.rar
    2020-04-29 11:18
    - 运算符比较运算符、逻辑运算符、赋值运算符、位运算符等。 2. **流程控制**: - 条件语句:if、else、elseif、switch结构。 - 循环语句:for、while、do...while、foreach。 - 分支结构:break、continue。...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 乌班图ip地址配置及远程SSH
  • ¥15 怎么让点阵屏显示静态爱心,用keiluVision5写出让点阵屏显示静态爱心的代码,越快越好
  • ¥15 PSPICE制作一个加法器
  • ¥15 javaweb项目无法正常跳转
  • ¥15 VMBox虚拟机无法访问
  • ¥15 skd显示找不到头文件
  • ¥15 机器视觉中图片中长度与真实长度的关系
  • ¥15 fastreport table 怎么只让每页的最下面和最顶部有横线
  • ¥15 java 的protected权限 ,问题在注释里
  • ¥15 这个是哪里有问题啊?