电梯直达

1楼 [收藏(0)] [报告]

发表于 2010-03-16 10:46 |只看该作者 |倒序浏览

我有个表单，接受参数，然后查询数据库。
我记得有个模块可以检查参数，防止sql注入的，想不起来。
有什么方便的途径吗？谢谢了

2楼 [报告]

发表于 2010-03-16 10:54 |只看该作者

DBIx 有 OR mapping的风格，不使用单纯的sql 语句，应该能比较好的防止sql注入

3楼 [报告]

发表于 2010-03-16 14:30 |只看该作者

用 $dbh->quote() 过滤一下参数达不到要求？

4楼 [报告]

发表于 2010-03-16 16:11 |只看该作者

本帖最后由 royalzhang 于 2010-03-16 16:26 编辑

用 $dbh->quote() 过滤一下参数达不到要求？
hitsubunnu 发表于 2010-03-16 14:30

谢了。我用的DBI，正好试试quote，以前还真没注意过这个函数。
另外在cpan找到DBIx::SImple + SQL::Interp的方案，还没仔细看。

5楼 [报告]

发表于 2010-03-17 02:21 |只看该作者

quote都不用，很简单，用dbi模块的bind功能

$sql = "select * from table where id = ?";
$sth = $db->peapre($sql);
$sth->execute($cgi->param('id'));

6楼 [报告]

发表于 2010-03-17 11:34 |只看该作者

#!/usr/bin/perl -T

然后对外部数据用正则过滤.

有哪个模块能防止sql注入？ [复制链接]