当前位置：文江博客话题详情

PHP / Kohana：保护搜索查询

发布于 2025-01-05 16:20:51 字数 248 浏览 1 评论 0原文

我希望允许用户执行搜索而不受任何字符的限制。

为了保护数据库免受攻击，“添加斜杠”和 / 或 mysql_escape_chars 是否足够？

您还有什么建议？

非常感谢。

PS URI路由-> www.example.com/search/category/query 其中 query 是要搜索的术语。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

一身骄傲 2025-01-12 16:20:51

如果直接传递查询，推荐的解决方案是在参数上使用 mysql_real_escape_string - 尽管这确实需要您首先打开数据库连接。这对于通过在转义时考虑数据库的字符编码来避免使用某些编码进行中间字符转义非常重要。此外，mysql_escape_string 已被弃用。

但是，如果可能的话，建议您改用准备好的mysqli 库的语句功能；这使您能够将查询参数作为参数传递给 PHP 方法，从而几乎保证您不会搞砸，同时无需执行转义。

假设您使用 Kohana 的内置数据库工具，您还可以使用其准备好的语句支持或查询构建器，它也支持准备好的查询，并且不需要转义。

回复收藏 0 原文

染年凉城似染瑾 2025-01-12 16:20:51

使用 Kohana ORM / Query Builder - 它们将保护您免受 SQL 注入。唯一需要注意的情况是使用 DB::expr 时，它不会转义变量。请参阅官方文档了解更多信息。

回复收藏 0 原文

几度春秋 2025-01-12 16:20:51

是的，这样的保护已经足够好了（如果您从文本区域插入数据，则几乎相同），但我会使用 mysql_real_escape_string 代替。并且不要忘记在 mysql 查询中的搜索字符串周围添加 '（... WHERE somecolumn LIKE 'query' 而不是 ... WHERE somecolumn LIKE query ，同样适用于 FULLTEXT 搜索）

并且请确保对 url 查询参数中的查询进行 url_encode 或 base64_encode

回复收藏 0 原文

鹿港小镇 2025-01-12 16:20:51

这个问题对我来说没有多大意义。

为什么搜索只是您关心的问题？采用参数的动态 SQL 查询是我们每个应用程序的基石。应该有一个通用规则（或一组规则），涵盖动态 SQL 的每一个案例，而不仅仅是一个。
Kohana 当然有它自己的工具来操作 SQL。为什么使用原始“添加斜杠”/mysql_escape_chars 代替？
www.example.com/search/category/query 将需要不必要的重定向。为什么不使用常规的 /search?cat=category&q=query？谷歌似乎并不认为使用此类网址进行搜索是一种耻辱 - 为什么要这样做呢？