用户输入数据库

Question

假设我们只期望用户发送的数据包含字符串或数字。使用 ereg 和 preg_match 函数检查数据是否足够安全？有办法伪造它们吗？我们还应该使用 mysql_real_escape_string 吗？

Answer 1

这将是简短的答案...

使用PDO：

• 文档：http ://php.net/manual/en/book.pdo.php

例如Zendfamework正在使用这个引擎。

Answer 2

是否安全是相对于你自己的需求而言的。如果您出于某种原因想避免 mysql_real_escape_string 那么我首先想问为什么。

我的答案是：当然...根据您的条件，

您可以预匹配 [0-9a-z] 并且没有什么可担心的。为了安全起见，请尝试传递多字节字符。只要您的条件不允许您在匹配不符合您的要求时做任何事情，那么据我所知，就没有什么棘手的解决方法可以在如此严格的规则下插入恶意字符。

但“弦”这个词是非常开放的。这包括标点符号吗？如果您允许标准注入字符作为您所谓的“字符串”，那么我的答案不再确定。

但我仍然推荐对所有用户提交的信息使用 mysql_real_escape_string() ，无论您如何事先尝试净化它。

Answer 3

如果您使用正则表达式来匹配有效输入并且成功，则用户输入有效。话虽这么说，如果有效输入中没有任何恶意字符（特别是引号或潜在的多字节字符），那么您不需要调用 mysql_real_escape_string 。同样的原则也适用于以下情况：

$user_in_num = intval( $_POST['in_num']); // Don't need mysql_real_escape_string here

因此，如下所示：

$subject = $_POST['string_input'];
if( !preg_match('/[^a-z0-9]/i', $subject)) 
{
    exit( 'Invalid input');
}

一旦 preg_match 成功，在 SQL 查询中使用 $subject 是可以的/安全的。