Użycie parametrów powiązanych jest wystarczające w typowych przypadkach i jest dobrą praktyką, aby uniknąć wstrzykiwania SQL.
Ale parametr w przygotowanej instrukcji może być użyty tylko jako wartość w wyrażeniu SQL. Innymi słowy, gdzie normalnie napisałbyś cytowany literał ciągu, cytowany literał daty lub literał numeryczny. I jeden parametr ==jedna wartość (bez list).
W takich przypadkach należy używać parametrów powiązanych. Jeśli zadajesz to pytanie, ponieważ uważasz, że możesz chcieć pominąć używanie powiązanych parametrów, jeśli ktoś odpowie, że nie są one wystarczające, przepraszam, nie będziesz zwolniony z bezpiecznych praktyk programistycznych.
Istnieją jednak inne (być może mniej powszechne) przypadki, w których parametry powiązane nie działają. Jeśli chcesz napisać zapytanie z dynamiczną nazwą tabeli, nazwą kolumny lub innym identyfikatorem, całym wyrażeniem lub słowem kluczowym SQL, potrzebujesz innej metody. Te przypadki należy naprawić w składni SQL w przygotuj czas, więc nie można ich sparametryzować.
Na przykład, oto zapytanie z dynamicznymi częściami oznaczonymi za pomocą zmiennych, które nie mogą być parametrami:
$sql = "SELECT * FROM mytable ORDER BY $column_of_users_choice $asc_or_desc";
W takich przypadkach należy używać białej listy . Innymi słowy, upewnij się, że łańcuch, który interpolujesz w zapytaniu jako dynamiczna nazwa tabeli, jest w rzeczywistości jedną z tabel istniejących w Twojej bazie danych. Upewnij się, że słowa kluczowe SQL są prawidłowymi słowami kluczowymi.
Nigdy weź dane wejściowe użytkownika dosłownie i interpoluj je do SQL (lub dowolnego innego kodu, który jest analizowany w czasie wykonywania, na przykład argument, który podajesz do eval()
lub shellexec()
). Nie tylko dane wprowadzane przez użytkownika mogą stanowić niebezpieczną treść.
Zobacz także moją prezentację Mity i błędy dotyczące wstrzykiwania SQL więcej wyjaśnień.