请问如何在 PHP 里用预编译的 SQL 语句

jhuangjiahua

前几天看同学写的代码

居然完全是字符串连接弄出的 SQL 语句
感觉不太可靠
比如要是传入的字符里有引号应该就会出问题了

upandup

你是说入库的字符串有引号吗
默认magic_quotes_gpc
或addslashes($str)
自动转义了。

mikespook

function _doSecurity()
    {
      $_GET = $this->_filter($_GET);
      $_POST = $this->_filter($_POST);
      $_COOKIE = $this->_filter($_COOKIE);
      $_REQUEST = $this->_filter($_REQUEST);
    }
   
    function _filter($arr)
    {
      $arrMask = array(
        'PHPSESSID',
        );
      if (is_array($arr))
      {
        foreach($arr as $key => $item)
        {
          if (!in_array($key, $arrMask))
          {
            $arr[$key] = $this->_filter($item);
          }
        }
      }
      else
      {
        if (!get_magic_quotes_gpc())
        {
          $arr = addslashes($arr);
        }
      }
      return $arr;      
    }

这个我一个MVC框架的页面处理类中的内部方法~~~不过phpclasses上可能会有构造sql语句的数据库操作类~~~用类似adodb的rs那样的方式add,update

jhuangjiahua

不想要 字符串连接 的原因 一是安全考虑，还有就是执行效率


google 到了一些东西

将 SQL 语句书写成类似
   - "select col1, col2 from tbname where col1=? and col3=?"
  - "insert into tbname values(?,?,?)"
  - "update tbname set col1=? where col2=?"
  - "delete from tbname where col3=?"

执行用类似
SQLBindParameter()
execute s1 using <var1>, <var2>




有些像 Python 里的作法了

cg111

花花，可以Z在数据库里编制一个储存过程，然后用php执行储存过程的。

nbxmedia

PDO和ADODB都有类似功能
而且字符串连接速度也差不了多少.........

mikespook

我用的是pear里的db，可以构造
update table1 set f = '?' where id = '?'然后传递一个数组～～
array(
array('a', 1),
array('b', 2),
array('c', 3),
)
不过这种构造方式依然还是可以做sql injection。其实外部数据过滤，我觉得不论是python还是php都不能少～～除非真的像win下面那个ADODB.Recordset在每次内部生成sql的时候都验证每个字段的类型与值是不是合法～～～