Kueri apa pun dapat disuntikkan baik itu baca atau tulis, persisten atau sementara. Suntikan dapat dilakukan dengan mengakhiri satu kueri dan menjalankan kueri terpisah (mungkin dengan mysqli ), yang membuat kueri yang dimaksud menjadi tidak relevan.
Setiap masukan ke kueri dari sumber eksternal apakah itu dari pengguna atau bahkan internal harus dianggap sebagai argumen untuk kueri, dan parameter dalam konteks kueri. Parameter apa pun dalam kueri perlu diparameterisasi. Ini mengarah ke kueri yang diparameterisasi dengan benar sehingga Anda dapat membuat pernyataan yang disiapkan dari dan mengeksekusi dengan argumen. Misalnya:
SELECT col1 FROM t1 WHERE col2 = ?
? adalah tempat untuk parameter. Menggunakan mysqli , Anda dapat membuat pernyataan siap pakai menggunakan prepare , ikat variabel (argumen) ke parameter menggunakan bind_param , dan jalankan kueri dengan execute . Anda tidak perlu membersihkan argumen sama sekali (sebenarnya itu merugikan). mysqli melakukan itu untuk Anda. Proses lengkapnya adalah:
$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
Ada juga perbedaan penting antara kueri berparameter dan pernyataan yang disiapkan . Pernyataan ini, sementara disiapkan, tidak diparameterisasi dan dengan demikian rentan terhadap injeksi:
$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
Untuk meringkas:
- Semua Kueri harus diparameterisasi dengan benar (kecuali jika tidak memiliki parameter)
- Semua argumen untuk kueri harus diperlakukan sebermusuhan mungkin tidak peduli sumbernya
