Yii2数据安全查询，防止sql注入漏洞

$id = Yii:: $app ->request->get( 'id' , '' ); //get获取参数

1.1 直接把获取的$id代入（有问题）

$sql     = "SELECT * FROM   tab WHERE id = {$id}" ;
$db      = \Yii:: $app ->db;
$command = $db ->createCommand( $sql ); //存在注入漏洞，方法内部并未对$id进行过滤或其它处理
$result  = $command ->queryAll();
var_dump( $result );

1.2 增加一个参数，Yii内部方法会将其参数化

$sql     = "SELECT * FROM   tab WHERE id = :id" ;
$db      = \Yii:: $app ->db;
$command = $db ->createCommand( $sql , [ ':id' => $id ]); //方法内部对第二个参数进行PDO参数化，不会导致注入漏洞
$result  = $command ->queryAll();
var_dump( $result );

[':id' => $id] 是数组的简写(php5.4+支持，Yii2也需要php5.4+才支持)，等同于array(':id' => $id)

2.1 直接把获取的$id代入（有问题）

//Tab是Model，与数据库中的Tab表对应
$result = Tab::findAll( "id={$id}" ); //参数为字符串，方法内部不会进行过滤，导致注入漏洞
var_dump( $result );

2.2 参数为数组的写法，Yii内部方法会将其参数化

$result = Tab::findAll([ 'id' => $id ]); //参数为数组，方法内部调用PDO进行参数化，不会导致注入漏洞
var_dump( $result );

以上有导致漏洞的写法是由于没有对用户输入的$id进行过滤，编写代码的人又没对输入的数据进行处理(Yii2 的GET POST REQUEST等不过滤用户输入的数据。论坛上有人问过Yii的作者为什么不过滤，作者说是为了防止把“好”数据过滤掉）

自己写过滤方法防止sql注入早已过时，一般都采用参数化的方式，PDO((PHP Data Object)支持参数化，php5.1+就能支持PDO连接MySql。其它语言如.net中也都是推荐使用参数化而不是拼接sql的方式。

所以并不是使用框架就不会导致sql注入或者XSS等，一是要看你使用什么框架，一是写法要符合规则才能使其中的安全机制起作用。

BTW,Yii2中，对输出的数据也要调用其方法html::encode()或php自身的函数htmlspecialchars()或htmlenocde()进行编码或过滤防止XSS。

------------参数化的模糊查询------------------------------------------

 使用如下语句将导致错误：

$books = \Yii::$app->db->createCommand("SELECT * FROM  book1 where book_title like '%:keywords%'  order by addtime desc")->bindValue(":keywords",$_GET['keywords'])->queryAll();

$books = \Yii::$app->db->createCommand("SELECT * FROM  book1 where book_title like '%:keywords%'  order by addtime desc")->bindValue(":keywords",$_GET['keywords'])->queryAll();

      实际执行的语句为

可以看到经过该函数防sql注入处理之后的 $_GET['keywords'] ，自动为上传的关键字加上了单引号，导致执行的SQL语句无法正常查询出来结果，无法把数据库存在的《算法》 查询出来。 

        经过查询资料，更换了以下的接口函数，可以既实现模糊查询，又可以实现防SQL注入。

$db = new \yii\db\Query;

$db = new \yii\db\Query;       

$books= $db->from('book1')->where("book_title like :keywords")->addParams([':keywords'=>'%'.$_GET['keywords'].'%'])->orderBy('addtime DESC')->all();

$books= $db->from('book1')->where("book_title like :keywords")->addParams([':keywords'=>'%'.$_GET['keywords'].'%'])->orderBy('addtime DESC')->all();