Mysql
 sql >> Baza danych >  >> RDS >> Mysql

Czy użycie funkcji bazy danych get_results() WordPress zapobiega wstrzykiwaniu sql?

Ok, więc jak wyjaśnił tadman, get_results nie zapobiega atakowi wstrzykiwania sql.

należy użyć funkcji przygotowania.

Przepisałem powyższy kod, aby zapobiec wstrzykiwaniu sql:

global $wpdb;
$offset = (isset($_POST["moreSearchResults"])) ? $_POST["searchOffset"] : 0;

$querySearchVals = "
    SELECT DISTINCT post_title, ID
    FROM {$wpdb->prefix}posts
    WHERE (";

$sVals = array();
$sVals = explode(" ", $searchVal);

$lastIndex = intval(count($sVals)) - 1;
$orderByCaseVals = "";
for($i = 0; $i<count($sVals);$i++)
{
    $queryPrep = $wpdb->prepare(" post_title LIKE '%%%s%%' ", $wpdb->esc_like( $sVals[$i] ));
    $querySearchVals .= $queryPrep;
    if($i != $lastIndex)
        $querySearchVals .= " OR ";

    $queryPrep = $wpdb->prepare(" WHEN post_title LIKE '%%%s%%' THEN ($i + 2) ", $wpdb->esc_like( $sVals[$i] ));
    $orderByCaseVals .= $queryPrep;
}

$querySearchVals .= ") 
    AND {$wpdb->prefix}posts.post_type = 'post'
    AND post_status = 'publish' 
    ORDER BY CASE";

$queryPrep = $wpdb->prepare(" WHEN post_title LIKE '%%%s%%' THEN 1 ", $wpdb->esc_like( $searchVal ));
$querySearchVals .= $queryPrep;
$querySearchVals .= "
        $orderByCaseVals
    END
";

$queryPrep = $wpdb->prepare(" LIMIT %d, 12", $offset);
$querySearchVals .= $queryPrep . ";";



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Jaki jest najłatwiejszy sposób na wyczyszczenie bazy danych z CLI za pomocą manage.py w Django?

  2. MySQL odpowiednik modułu dblink w PostgreSQL?

  3. operacja usuwania blokuje całą tabelę w innodb

  4. Dlaczego separator używany z procedurą składowaną w mysql?

  5. Upuścić unikalny klucz wielokolumnowy bez upuszczania klucza obcego?