如何使用 PHP 和 sqlsrv 驱动程序清理输入？

Question

我正在开发一个使用 sqlsrv 驱动程序的 PHP MSSQL 项目。 阻止 SQL 注入攻击的最佳方法是什么？我需要类似 mysql_real_escape_string() 的东西，但用于 sqlsrv 驱动程序。

Answer 1

如果你像这样使用它，引用是自动的：

$sql = "exec usp_cis_upd
        @key = ?,
        @value = ?";

$params = array(
    $key,
    trim($_POST["value"]));

$stmt = sqlsrv_query($dbh, $sql, $params);

Answer 2

最好的方法是不要编写 SQL，这样您就需要使用 mysql_real_escape_string() 的类似方法，您可以通过使用值的占位符然后传递变量来完成此操作（否则将被当您执行语句或打开游标或其他任何操作时，由 mysql_real_escape_string() 处理）。

如果失败，请查看 mysql_real_escape_string() 的输出；它可能也适用于 MS SQL Server。这取决于它如何进行转义（以及它做了什么转义）。