Mysql
 sql >> Teknologi Basis Data >  >> RDS >> Mysql

Apakah menggunakan fungsi database WordPress get_results() mencegah injeksi sql?

Ok jadi seperti yang dijelaskan tadman get_results tidak mencegah serangan injeksi sql.

fungsi persiapan perlu digunakan.

Saya telah menulis ulang kode di atas untuk mencegah injeksi sql:

global $wpdb;
$offset = (isset($_POST["moreSearchResults"])) ? $_POST["searchOffset"] : 0;

$querySearchVals = "
    SELECT DISTINCT post_title, ID
    FROM {$wpdb->prefix}posts
    WHERE (";

$sVals = array();
$sVals = explode(" ", $searchVal);

$lastIndex = intval(count($sVals)) - 1;
$orderByCaseVals = "";
for($i = 0; $i<count($sVals);$i++)
{
    $queryPrep = $wpdb->prepare(" post_title LIKE '%%%s%%' ", $wpdb->esc_like( $sVals[$i] ));
    $querySearchVals .= $queryPrep;
    if($i != $lastIndex)
        $querySearchVals .= " OR ";

    $queryPrep = $wpdb->prepare(" WHEN post_title LIKE '%%%s%%' THEN ($i + 2) ", $wpdb->esc_like( $sVals[$i] ));
    $orderByCaseVals .= $queryPrep;
}

$querySearchVals .= ") 
    AND {$wpdb->prefix}posts.post_type = 'post'
    AND post_status = 'publish' 
    ORDER BY CASE";

$queryPrep = $wpdb->prepare(" WHEN post_title LIKE '%%%s%%' THEN 1 ", $wpdb->esc_like( $searchVal ));
$querySearchVals .= $queryPrep;
$querySearchVals .= "
        $orderByCaseVals
    END
";

$queryPrep = $wpdb->prepare(" LIMIT %d, 12", $offset);
$querySearchVals .= $queryPrep . ";";



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Cara Menginstal dbWatch untuk Memantau Kinerja MySQL di Linux

  2. Cara mendapatkan komentar kolom dari SQL

  3. mendapatkan kesalahan Status HTTP 405 - Metode HTTP GET tidak didukung oleh URL ini tetapi tidak pernah digunakan `get`?

  4. Kesalahan Sintaks MySQL ke Oracle (Batas/Offset/Perbarui)

  5. Bagaimana cara menghapus statistik performance_schema tanpa me-restart MySQL?