0

このjavascript/AJAXはローカルホストサーバーで機能していましたが、共有ホスティングに移動すると、MySQL呼び出しの非オブジェクトでメンバー関数execute()が呼び出されたときにエラーがスローされるようになりました。

HTML:

onclick="showTrending('page_views DESC', 'product.active= "y" 
AND product.deleted= "n" ', '12', 'popular')"

そしてjavascript:

function showTrending(mysql_order, mysql_limit, limit, trend)
{
$.ajax({ type: "POST", 
url: '/ajax/product_trending.php', 
data: {Mysql_Order: mysql_order, Mysql_Limit: mysql_limit, Limit: limit},
cache: false, 
success: function(result) {
 // if productSubType array is defined and has at least one element, display subcategory list
if(result != 0){...

エラーが発生しているAJAXで呼び出されるPHPファイル:

//Retrieve subcategories for supplied product type
if(isset($_POST['Mysql_Order']) && isset($_POST['Mysql_Limit']) 
&& isset($_POST['Limit'])){
$mysql_order = $_POST['Mysql_Order'];
$mysql_limit = $_POST['Mysql_Limit'];
$limit = $_POST['Limit'];
//Overlay for wishlist
if(!isset($_SESSION['email'])){
    $item_wishlist = NULL;
} else{
    $item_wishlist = $_SESSION['id'];
}
//Get product records from db
require_once($GLOBALS['domain'].'includes/connection.inc.php');
$db = dbConnect();
$stmt = $db->stmt_init();


$stmt = $db->prepare("SELECT product.id, product.image_thumb, product.title,
    product.eng_title, product.price, seller.shop_name, seller.id FROM product 
    INNER JOIN seller ON product.seller_id=seller.id WHERE $mysql_limit ORDER BY
    $mysql_order LIMIT 0,$limit"); <-- This is the part that errors


$stmt->execute();
$stmt->bind_result($row['product_id'], $row['image_thumb'], $row['title'],
    $row['eng_title'], $row['price'], $row['shop_name'], $row['seller_id']);
$counter = 0;
$product_array = array();
while ($stmt->fetch()){
    ...store variables
    $counter++;
}
if($counter > 0){
    echo json_encode($product_array);
}else{
    echo json_encode(0);
}
}

問題は、HTMLから渡されたPOST変数を挿入するときにMySQL文字列を正しく準備していないことです。MySQLに対して次のように記述すれば、動作することをテストして確認しました。

"SELECT product.id, product.image_thumb, product.title,
 product.eng_title, product.price, seller.shop_name, seller.id FROM product 
 INNER JOIN seller ON product.seller_id=seller.id WHERE product.active= 'y' 
AND product.deleted= 'n' ORDER BY
 page_views DESC LIMIT 0,12"

MySQLで目的の結果を得るには、最初のHTML呼び出しをどのように正しく記述すればよいですか?

4

2 に答える 2

1

ホスティング事業者はおそらく、magic_quotesすべてのGET / POST/etcデータを自動的にエスケープするenableと呼ばれる古風なPHP機能を持っています。これは(非常に悪い)SQLインジェクションを防ぐ方法であり、現在は非推奨になっています。

あなたのスクリプトには目を見張るようなSQLインジェクションの穴があり、この機能は確かにあなたをそれから「保護」しています。スクリプトを書き直して、ユーザー入力がそのままSQL文字列に追加されないようにします。できれば、パラメーター化されたクエリ(google it)を使用します。

于 2012-12-30T18:39:53.867 に答える
1

$mysql_orderSQLインジェクションの対象となることをあなたの注意を喚起したいと思います。

プリペアドステートメントを使用しているからといって、クエリが安全であるとは限りません。にはホワイトリストを使用する必要があります$mysql_order part

于 2012-12-30T18:43:11.273 に答える