使用 PHP 检查 MySQL INSERT QUERY 中变量存在的简明方法

Question

我正在编写一个 PHP 脚本来将商品添加到购物篮中。我的购物篮表包含用户 ID、产品 ID、会话 ID、注释和其他一些字段。某些字段可以为空。例如：

如果某人未登录，那么我会将他们的会话 ID 存储在表中，如果他们登录，则添加他们的用户 ID，以便我有一种永久的方式将表中的项目与用户进行匹配。如果是的话，我会添加用户 ID。当涉及到 INSERT 查询时，我可以这样做：

$add_sql = "INSERT into sessionBasket (userid) VALUES ( '".isset($_SESSION["userid"]) ? $_SESSION["userid"] : "") ."'";

这会在变量检查和分支上节省我很多时间，因为人们可以登录也可以不登录，物品可以有注释也可以没有，之类的。

Answer 1

哎呀！ SQL 注入！ 你可能会丢失整个数据库

你应该查看 SQL 插入的准备语句。

您需要使用 mysqli 接口，但它是这样的：

$statement = $db_connection->prepare("insert into ... VALUES(?)");
$statement->bind_param("id", $sid);
$statement->execute();

这将防止 sql 注入攻击。

绝对最低限度，您至少应该转义字符串。

$sid = isset($_SESSION[userid]) ? mysql_real_escape_string($_SESSION[userid])) : '';
$add_sql = "insert into ... values($sid)";