我需要转义子查询吗？

Question

我有一个如下的 SQL 查询：

UPDATE User SET flag='Y' WHERE email=(SELECT email FROM Forum WHERE id='$id');

因为 电子邮件地址 可以包含单引号和一些特殊字符 (s*a'{f`%$.=*+~&^#| g!/hd@[66.112.45.34] 和 vy."(),:;<>[]".VY."vy\\ \@\"vy"[email protected] 都是有效的电子邮件地址），我不确定是否是有必要单独执行子查询，转义输出，然后在主查询中使用它，

是什么？

您的建议 注意：$id 是一个安全号码。

Answer 1

您不需要转义任何内容，因为有子查询，但当然您需要转义 id 值以将其放入字符串中。

如果可能，您应该使用参数化查询，而不是将值连接到字符串中。那么你就不必逃避任何事了。

Answer 2

您不需要转义子查询中的任何内容。但是，无论最初将电子邮件插入数据库的任何查询都需要转义该字段。当您添加或修改 email 字段时，请进行转义。

Answer 3

需要回答的信息是：“$id 从哪里来？”

如果可以从外部修改，则需要引用。例如，如果它作为 GET 参数http://www.foo.com/foo.php?id=222 传递，则需要引用它（与 POST 相同）。

通过一点引号，参数可以关闭子查询，并且可以执行每个查询，例如，通过提供 "'); DELETE * FROM User; --" 作为 $ 的值id:

UPDATE User SET flag='Y' WHERE email=(SELECT email FROM Forum WHERE id=''); 
DELETE * FROM User; --');