comment utiliser en toute sécurité LIKE

Question

Je crée un script dans lequel les utilisateurs peuvent rechercher une base de données. Ma compréhension est que PDO ne vous laisse pas définir un paramètre pour l'opérande LIKE. Donc, j'ai ce code pour compenser

$sQuery = "SELECT * FROM table WHERE column LIKE '%" . $this->sQuery . "%' LIMIT 30"; 
$Statement = $this->Database->prepare($sQuery); 
$Statement->execute(); 

Je doute que cela soit sécurisé contre l'injection SQL. Y a-t-il un moyen de le sécuriser?

Answer 1

Vous avez raison, l'interpolation de n'importe quelle valeur dans une chaîne SQL crée un risque de vulnérabilité d'injection SQL. Il est préférable d'utiliser un espace réservé de paramètre de requête SQL lorsque vous prepare() et puis fournir la valeur en tant que paramètre lorsque vous execute(). Prenez ce pseudo-code car je ne peux pas dire de votre exemple quelle extension MySQL vous utilisez. Je suppose PDO, qui permet aux paramètres d'être envoyés en tant qu'argument de tableau à execute().

Certaines personnes utilisent PDOStatement::bindParam(), mais il n'y a aucun avantage à le faire. Peut-être que dans d'autres marques de RDBMS, le PDO::PARAM_STR est important, mais dans le pilote MySQL, le type de paramètre est ignoré. PS: Mis à part le problème de sécurité que vous avez posé, vous constaterez que la recherche de modèles génériques, comme vous le faites, ne fonctionne pas bien lorsque vos données augmentent. Voir ma présentation Full Text Search Throwdown.

Answer 2

Cela devrait fonctionner:

$sQuery = "SELECT * FROM table WHERE column LIKE :query LIMIT 30"; 
$Statement = $this->Database->prepare($sQuery); 
$Statement->execute(array(':query' => '%' . $this->sQuery . '%'));