2回答

慕村225694

任何查询都可以被注入，无论是读取还是写入，持久性还是瞬时性。可以通过结束一个查询并运行一个单独的查询（可能带有mysqli）来执行注入，这会使所需的查询变得无关紧要。来自外部源的查询的任何输入，无论是来自用户还是内部的输入，都应视为该查询的参数以及该查询上下文中的参数。查询中的任何参数都需要参数化。这会导致参数化查询正确，您可以从中创建准备好的语句并使用参数执行。例如：SELECT col1 FROM t1 WHERE col2 = ??是参数的占位符。使用mysqli，您可以使用创建一个准备好的语句，使用来prepare将变量（参数）绑定到参数bind_param，然后使用来运行查询execute。您根本不需要清理参数（实际上这样做是有害的）。  mysqli为您做到这一点。整个过程将是：$stmt = mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");$stmt->bind_param("s", $col2_arg);$stmt->execute();参数化查询和预备语句之间也有重要区别。该语句在准备时并未进行参数化，因此容易注入：$stmt = mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");总结一下：所有查询都应正确参数化（除非它们没有参数）不论其来源如何，查询的所有参数都应被视为具有敌意

0 0

0