如果插入用户输入而不修改SQL查询,则应用程序容易受到SQL注入的攻击,如下例所示:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
这是因为用户可以输入类似的内容value'); DROP TABLE table;--,查询变为:
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
可以采取哪些措施来防止这种情况发生?
我听到人们一直在谈论依赖注入和它的好处,但我真的不明白它.
我想知道它是否是"我一直将数据库连接作为参数传递"问题的解决方案.
我试过阅读维基百科上的条目,但这个例子是用Java编写的,所以我不能完全理解它试图弄清楚它的区别.(http://en.wikipedia.org/wiki/Dependency_injection).
我读了这篇依赖注入的php文章(http://www.potstuck.com/2009/01/08/php-dependency-injection/),似乎目标是不将依赖项传递给对象直接,但封锁对象的创建以及它的依赖关系的创建.不过,我不知道如何在使用php函数上下文中应用它.
另外,是以下的依赖注入,我是否应该尝试在功能上下文中进行依赖注入?
版本1 :(我创建的代码类型,但每天都不喜欢)
function get_data_from_database($database_connection){
$data = $database_connection->query('blah');
return $data;
}
版本2 :(不必传递数据库连接,但可能不是依赖注入?)
function get_database_connection(){
static $db_connection;
if($db_connection){
return $db_connection;
} else {
// create db_connection
...
}
}
function get_data_from_database(){
$conn = get_database_connection();
$data = $conn->query('blah');
return $data;
}
$data = get_data_from_database();
版本3 :("对象"/数据的创建是独立的,数据库代码仍然是,所以这可能算作依赖注入?)
function factory_of_data_set(){
static $db_connection;
$data_set = null;
$db_connection = get_database_connection();
$data_set = $db_connection->query('blah');
return $data_set;
}
$data = factory_of_data_set();
任何人都有良好的资源或只是洞察力,使方法和利益 - 水晶 - 清楚?