yii防止sql注入
假如创建了一个Article模型
先看下面这个例子:
public function actionIndex() { $request = \Yii::$app->request; $id = $request->get('id'); $sql = "select * from article where id=".$id; $r = Article::findBySql($sql)->all(); print_r($r); }
上面的例子存在什么风险呢?
id是通过页面url获取的,可能会被用户恶意篡改,比如id改为id=1 or 1=1 即拼接为:
$sql = "select * from article where id=1 or 1=1";
1=1是恒成立的,所以sql语句实际效果是:
$sql = "select * from article";
这样会把所有文章都搜索出来,假如搜出的是网站所有会员的信息,那是不安全的!
用户还可以恶意删除数据库的信息:
比如把id改为:1;drop table article 即拼接为:
$sql = "select * from article where id=1;drop table article";
这样就会把article表给删除掉。是不是很不安全呢!
那么如何防范这种风险呢?
其实也很简单,就是先把sql语句做占位符处理,然后把参数传到sql语句中。
$sql = "select * from article where id=:id"; //冒号后的id可以自定义,一般就与前面的字段名一样 $r = Article::findBySql($sql,[':id'=>$id])->all(); //第二个参数为占位符替换