如何在没有 mysql 的情况下清理 php 输入

Question

我正在尝试找出一种方法来清理从 php 进入 sqlite 的输入。我无法使用mysql。仅仅使用 sqlite_escape_string 就足够了还是我需要做其他事情？另外我只能使用sqlite2。

Answer 1

避免 SQL 注入的最佳方法是强制使用参数查询，并且永远不要通过字符串连接或变量插值手动组装 SQL 语句。

在 PHP 5+ 上，您可以使用 PDO，它是一个多数据库抽象层，支持 SQLite（以及其他）和参数查询。

Answer 2

转义函数确保 SQL 方言使用的特殊字符（主要是引号）被转义，以便您的插入/更新等工作。 sqlite_escape_string 所做的只是转义单引号。

此外，人们还担心有人可以制造 SQL 注入。因为您使用的是 v2，所以您无法使用可以保护您的prepare 和 _bind() 函数。

SQLite 允许您链接由“;”分隔的命令所以那里有一个问题。我建议您首先使用您编写的辅助函数或使用 sprintf 仔细设计参数，并确保正确输入整数、浮点数和字符串。

您应该能够创建自己的转义函数来“转义”您想要注意的内容...最具体的是分号，在查询末尾使用 ... ESCAPE '\' ，假设您使用反斜杠作为你的逃脱角色。

然后就会出现有人故意插入恶意内容（XSS）的问题。 Grigor 提供了一种解决方案——在字符串上使用 htmlentities() 。

Answer 3

有很多方法，但这取决于您输入的目标，请参阅此问题以更好地理解它： 使用 PHP 清理用户输入的最佳方法是什么？

Answer 4

sqlite_escape_string() 应该完成所有操作您需要输入字符串进行清理。至于输出，如果是输出为HTML，则使用 htmlspecialcharts( ) 在输出之前。

Answer 5

SQLite 提供 sqlite_escape_string()那。不过，它仅适用于 PHP 5。

不过，仅仅依靠这些方法并不能帮助您免于注射。一个必要的措施是始终首先验证用户提供的输入，然后再将其置于您必须依赖但实际上尚未创作的方法之前。