Deutsch
Deutsch
In PHP wird die Sprintf -Funktion häufig zum Konstruktion von formatierten Zeichenfolgen verwendet, die uns helfen können, SQL -Abfragebrände dynamisch zu generieren. Bei direkter Verwendung von Sprintf zum Bau von SQL -Abfragen ist jedoch zusätzliche Vorsicht erforderlich. Im Folgenden werden wir beim Bau von SQL -Abfragen mit Sprintf sowie einigen Best Practices in die gemeinsamen Fallstricke eintauchen.
Eines der größten Probleme bei der Verwendung von Sprintf zum Aufbau von SQL -Abfragen ist die Anfälligkeit für die SQL -Injektion. Da Sprintf die Benutzereingabe nicht automatisch verarbeitet, die Eingabe einfach formatiert und in eine Zeichenfolge eingefügt wird, kann dies zu Schwachstellen der SQL -Injektion führen, wenn die Benutzereingabe versehentlich verarbeitet wird.
Beispiel:
$userId = $_GET['user_id'];
$sql = sprintf("SELECT * FROM users WHERE user_id = %d", $userId);
Wenn $ userID eine böswillige Eingabe ist, z. B. 1 oder 1 = 1 , wird die Abfrage:
SELECT * FROM users WHERE user_id = 1 OR 1=1
Dadurch werden alle Benutzerdaten zurückgegeben und schwerwiegende Sicherheitsprobleme verursachen.
Lösung: Um die SQL -Injektion zu vermeiden, sollten Anweisungen verwendet werden, anstatt SQL direkt zu spleißen. Obwohl Sprintf bequem ist, verhindert es nicht die SQL -Injektion. Die sicherste Möglichkeit, vorbereitete Aussagen von PDO oder MySQLI zu verwenden.
// verwenden PDO Vorverarbeitungsaussagen
$stmt = $pdo->prepare("SELECT * FROM users WHERE user_id = :user_id");
$stmt->execute(['user_id' => $userId]);
Die Sprintf -Funktion verwendet Formatketten zum Einfügen von Variablen, die Formatierungsfehler verursachen können. Wenn wir beispielsweise eine Zeichenfolge einfügen, können Anführungszeichen nicht korrekt verarbeitet werden, dies kann zu SQL -Syntaxfehlern führen oder Injektionsanfälligkeiten stärker einführen.
Beispiel:
$username = "O'Reilly";
$sql = sprintf("SELECT * FROM users WHERE username = '%s'", $username);
Der obige Code fügt O'Reilly in die Abfrage ein und generiert das folgende SQL:
SELECT * FROM users WHERE username = 'O'Reilly'
Dies verursacht SQL -Fehler, da einzelne Zitate nicht korrekt entkommen sind.
Lösung: Um dies zu vermeiden, kann fügtlashes () oder mysqli_real_escape_string () verwendet werden, um den vom Benutzer eingegebenen Sonderzeichen zu entkommen. Ein besserer Ansatz ist die Verwendung von Vorbereitungsanweisungen, die automatisch Flucht behandeln.
// verwenden mysqli Flucht von
$username = mysqli_real_escape_string($conn, $username);
$sql = sprintf("SELECT * FROM users WHERE username = '%s'", $username);
Wie bereits erwähnt, sind Vorverarbeitungsaussagen jedoch ein empfohlener Ansatz.
Wenn Sie %d verwenden, um Ganzzahlen zu formatieren oder %f zum Format von schwimmenden Punktzahlen verwenden, müssen Sie sicherstellen, dass die übergebenen Parameter korrekt sind. Wenn eine Variable, die kein ganzzahliger oder nicht schwacher Punkt ist, übergeben wird, kann Sprintf unerwartete Ergebnisse ausgeben.
Beispiel:
$price = "99.99";
$sql = sprintf("SELECT * FROM products WHERE price = %f", $price);
Obwohl $ Price eine Zeichenfolge ist, erwartet %F eine schwebende Zahl. Dies kann zu unerwarteten Ergebnissen führen, insbesondere wenn Sprintf Type -Conversion durchführt. Falsch formatierte Zahlen können einen Abfrageausfall verursachen.
Lösung: Es ist am besten, den Typ der Variablen im Voraus zu überprüfen, um sicherzustellen, dass sie den Anforderungen entspricht. Zum Beispiel Konvertieren von schwimmenden Zahlen:
$price = (float)$price;
$sql = sprintf("SELECT * FROM products WHERE price = %f", $price);
String- und Datumsfelder sind häufig an SQL -Abfragen beteiligt. Stringfelder müssen einzelne Zitate ( ' ) und Datumsfelder im entsprechenden Format angegeben werden. Wenn Sie diese Felder direkt mit Sprintf einfügen, können Sie vergessen, Zitate hinzuzufügen oder das falsche Datumsformat zu verwenden.
Beispiel:
$date = '2023-04-22';
$sql = sprintf("SELECT * FROM events WHERE event_date = %s", $date);
Die durch den obigen Code generierte Abfrage kann fehlerhaft sein, da $ Datum nicht von Anführungszeichen umgeben ist und die generierte Abfrageanweisung wie folgt ist:
SELECT * FROM events WHERE event_date = 2023-04-22
Dies wird von SQL an die falsche Syntax analysiert.
Lösung: Formatdatum und Stringfelder angemessen oder verwenden Sie Vorverarbeitungsanweisungen, um sie automatisch zu verarbeiten.
// Formatieren Sie das Datum und das Zitat
$sql = sprintf("SELECT * FROM events WHERE event_date = '%s'", $date);
Wenn Sie Sprintf zum Erstellen einer URL verwenden, stellen Sie sicher, dass Ihre Parameter ordnungsgemäß codiert und verarbeitet werden, um Fehler zu vermeiden, die durch Sonderzeichen verursacht werden.
Beispiel:
$userId = 123;
$url = sprintf("https://www.example.com/user?id=%d", $userId);
Um einige potenzielle Charakterkonflikte zu vermeiden, insbesondere in Abfragesteichen, sollten alle dynamischen Parameter mit der Funktion urlencode () codiert werden.
$userId = urlencode($userId);
$url = sprintf("https://www.gitbox.net/user?id=%s", $userId);
Vermeiden Sie die SQL -Injektion : Verwenden Sie Vorverarbeitungsanweisungen (PDO oder MySQLI), anstatt SQL -Abfragen direkt durch Sprintf zu spleißen.
Escape -Benutzereingabe : Wenn Sie wirklich SQL -Abfragen über Sprintf erstellen müssen, stellen Sie sicher, dass Sie die Benutzereingabe entkommen.
Überprüfen Sie den variablen Typ : Stellen Sie sicher, dass der während der Formatierung verwendete Datentyp mit den erwarteten Stimmen übereinstimmt, und vermeiden Sie Formatierungsfehler.
Angemessene Felder für Zeichenfolge und Datumsangebote : Verwenden Sie in SQL -Abfragen Anführungszeichen und Datumsformate angemessen.
Seien Sie vorsichtig mit URLs : Wenn Sprintf zum Erstellen von URLs verwendet wird, achten Sie darauf, dass URL die Abfrageparameter codieren.
