关于 sql 拼接和 sql 注入的问题

#19 @IvanLi127 phpdelusions.net/pdo/sql_injection_example 所举的例子就是典型的同时混用 字符串拼接 和 prepared statement 的传参插值以实现将用户输入用于无法作为 prepared statement 的传参插值的地方（原文例子中是用于 UPDATE ... SET 子句，现实中更常见的就是 SELECT ...子句的字段名，或是楼上 ORDER BY ...子句的字段名），所以字符串拼接是这的短板

#20 @IvanLi127 byte0x39=字符串 9 是 ASCII 里的，不论什么 EASCII 编码都不可能修改掉这个 0x39 对应 9 的关系（顶多像 SHIFT-JIS 那样把\改成￥），那么您所说的转了几手难道是传输给使用远古的 BCDIC 编码的环境里了吗？还是阁下直接在前端验证用户输入白名单，所以无法保证后端收到的就是 0x39 byte ？

如果想要完全避免注入问题，需要使用 sql 预编译，然后通过参数绑定的方式执行，把 SQL 和数据分开绝对不会有问题。

用 prepare sql 啊，这不专门用来解决这个问题的么，性能还好

#15 @h0099 所说的 `给 query builder 传入 raw 部分如 selectRaw(用户输入)`实际上就是
#21 的`同时混用 字符串拼接 和 prepared statement 的传参插值`
您可能会觉得我从来都没有做过 在 prepared statement 里又直接拼接了用户输入 的罪恶行径
但实际上 orm 的 query builder 通过抽象隔离使得您在使用其提供的 selectRaw()等 api 时也忘记了这实际上就是危险的拼接

@ToBeHacker 我只是在个别规则比较多的参数数量不固定情况使用了这种方式，其他都是用的 pg $1 $2 这种方式传的参，如果我上面的情况用这种的话，需要重复写几个 sql ，感觉比较麻烦，所以就用了这种方式

@h0099 大佬，我上面图片的例子感觉不是很恰当，我下面这张图上，我就是用 prepared statement 和拼接混用的情况，这种会有风险吗？


您需要控制{}的插值也就是那个 id 变量的取值区间，如果他来自程序内部那还比较容易保证其合法（比如您 1 楼所说的`query.order 是请求接口传过来的值，是一个枚举类型`），如果是用户输入您必须得假定恶意对它做合适的过滤甚至白名单

@h0099 字符编码这个我也不能多说什么，我也没深入研究字符编码的问题，大概是编码长度转换出问题之类的，反正我是不信上古代码里关于字符串的处理。
另外预处理语句解决不了的业务你咋能怪预处理。。。我只是回复别人说替换文本不安全而已，和 op 的问题没关系。

@h0099 你传入的字符串包含了;，并不在允许的规则之内。所以还是安全的。

@h0099 我这个 id 是一个 i32 的数值类型，这种也需要过滤一些值吗

@h0099 ChatGPT 机器人你好...

某机器人坚持要用参数化绑定数据，经过多轮交流，终于愿意以拼接字符串的方式写，其实就是黑名单与白名单+类型判断。不知道黑名单的字符串够不够完整。


```C#
// 定义变量
int num = 1;
string str = "abc";
DateTime dateTime = DateTime.Now;

// 将变量转换为 SQL 语句中可以使用的字符串
string numStr = num.ToString();
string strStr = str.Replace("'", "''");
string dateTimeStr = dateTime.ToString("yyyy-MM-dd HH:mm:ss");

// 拼接 SQL 语句
string sql = "SELECT * FROM table WHERE num=" + numStr + " AND str='" + strStr + "' AND datetime='" + dateTimeStr + "'";

// 执行 SQL 语句
// ...
```

准确的说是转义符+类型判断