Créer une requête de table

Question

Je veux créer une table pour faire une boîte de commentaires. On m'a dit que je devrais me méfier de l'injection de sql (ne sait même pas ce que cela signifie).

Alors j'ai pensé que je devrais demander autour de SO. mes exigences sont les suivantes:

Commentaires Table

1. un commentaire ligne 400 ~ caractères
aide
2. -> tous les commentaires doivent être liées à une aide. les doublons devraient être autorisés. signifie aide = 21, peut avoir plus d'un commentaire. Je devrais être capable de rechercher dans la base de données pour voir tous les commentaires liés à l'aide = 21.
3. timestamp pour le commentaire
4. userid pour le commentaire.

Une requête MySQL pour la table ci-dessus qui ne devrait pas autoriser l'injection SQL. Je suis assez confus. Toute aide serait très appréciée. Merci beaucoup d'avance.

Answer 1

La création d'une table se produit généralement une seule fois, lorsque le système est installé. Il n'y a donc aucun risque de SQL injection (ce qui se produit lorsqu'une requête est exécutée avec des données fournies par l'utilisateur).

La description ci-dessus serait probablement mis en œuvre comme:

CREATE TABLE `comment` ( 
    `comment_id` INTEGER NOT NULL AUTO_INCREMENT PRIMARY KEY, 
    `comment_text` VARCHAR(400) NOT NULL, 
    `aid_id` INTEGER NOT NULL REFERENCES `aid`(`aid_id`), 
    `comment_time` DATETIME NOT NULL, 
    `user_id` INTEGER NOT NULL REFERENCES `user`(`user_id`) 
); 

Answer 2

Essayez et utilisez stored procedures dans mysql.

Utilisez les paramètres pour transmettre l'entrée à la procédure stockée.

Answer 3

Ce tutoriel est pour vous. http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php

Answer 4

injection SQL est expliquée à Wikipédia et d'autres endroits.

L'utilisation mysql_real_escape_string() ou stored procedures sont des techniques standard qui évitent l'injection SQL.