本文详解如何在基于 codeigniter 4 的自定义数据库类中安全、规范地添加 where 子句,包括语法结构、参数传递方式、sql 注入防护建议及实际代码示例。
本文详解如何在基于 codeigniter 4 的自定义数据库类中安全、规范地添加 where 子句,包括语法结构、参数传递方式、sql 注入防护建议及实际代码示例。
在使用 CodeIgniter 4 开发时,若项目中封装了自定义数据库操作类(如示例中的 DB 类),需确保 WHERE 条件的传入既符合逻辑又具备安全性。虽然 CI4 原生提供了强大的 Query Builder(如 $this->db->table('users')->where('name', 'Joe')->orderBy('id', 'DESC')->get()->getResult()),但当沿用已有 getRows() 封装方法时,必须严格遵循其约定的参数格式。
根据 dbclass.php 中 getRows() 方法的实现逻辑,where 条件需以关联数组形式传入 conditions 参数,键为字段名,值为对应条件值。注意:原始代码中存在 SQL 注入风险——它直接拼接字符串 .$key." = '".$value."',未做任何转义或预处理。因此,在实际生产环境中,强烈建议升级为预处理语句或使用 CI4 原生驱动。
✅ 正确调用方式如下(适配当前 getRows 方法):
$users = $db->getRows('users', [
'where' => ['name' => 'Joe'], // ✅ 键值对形式,非字符串
'order_by' => 'id DESC'
]);⚠️ 重要注意事项:
- ❌ 错误写法:['where' => ["name => 'Joe'"]](字符串形式,会导致 SQL 语法错误);
- ❌ 危险写法:若 $value 来自用户输入(如 $_GET['name']),当前代码将直接导致 SQL 注入;
- ✅ 安全改进方向(推荐):
- 使用 CI4 原生 Query Builder 替代手写 SQL;
- 或在 getRows() 内部改用 PDO 预处理(例如:$stmt = $this->db->prepare($sql); $stmt->execute($params););
- 对字符串值进行 mysqli_real_escape_string()(仅限 MySQLi)或统一使用 htmlspecialchars() + 白名单校验字段名。
最后,在遍历结果前,建议增加健壮性判断:
if (!empty($users) && is_array($users)) {
$count = 0;
foreach ($users as $user) {
$count++;
echo "<div>User #{$count}: {$user->name}</div>";
}
}总结:添加 WHERE 条件本质是向 getRows() 的 conditions 数组注入 'where' => [...] 键值对;但切勿止步于功能实现——务必评估底层 SQL 构建的安全性,并优先采用框架原生、经过充分测试的数据库接口。
