-
- qq_光亮_1 2018-05-29
//mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
-
截图0赞 · 0采集
-
- qq_光亮_1 2018-05-29
对于value来说,sql本身是没啥问题的,但是PHP就有问题了,比如就拿教程里面的这种方式,把变量 $value 里的字符串直接拼接成为 sql 语句,就会存在很大的安全隐患,举个例子,假设你开发一个密码登录的接口,$value1 里存的是用户账号,$value2 里存的是用户密码,sql语句是这样子拼的:
$sql = "select * from user where `account` = '".$value1."' and `password` = '".$value2."'";
如果遇到恶意用户,他在登录时把密码填成 123456' or '1' = '1 ,想一下,你最后会得到什么样的sql语句,是不是
select * from user where `account` = 'zhangsan' and `password` = '123456' or '1' = '1'
于是只要 '1' = '1' 成立,sql语句就能执行成功。。。
是不是很可怕?这就叫做 sql 注入,是一种很古老的黑客攻击手段,所以现在一般会用 addslashes 对用户提交的内容进行转义,把那些可能会导致sql注入的关键字给替换掉。
-
截图0赞 · 0采集
-
- 小学弟啦啦啦 2017-05-24
- function update($table, $array, $where = null) { // update imooc_admin set username = 'king' where id = 1; $str = null; foreach ($array as $key => $value) { if ($str == null) { $sep = ""; } else { $sep = ","; } $str .= $sep . $key . "='" . $value . "'"; } $sql = "update {$table} set {$str} " . ($where == null? null : " where ".$where); if (mysql_query($sql)) { return mysql_affected_rows(); } else { return false; } }
- 0赞 · 0采集
-
- 用户1084380 2017-05-16
- mysqli_real_escape_string($sql);
- 0赞 · 0采集
-
- 白小明 2017-05-11
- // 记录的更新操作 function update($table, $array, $where = null) { // update imooc_admin set username = 'king' where id = 1; $str = null; foreach ($array as $key => $value) { if ($str == null) { $sep = ""; } else { $sep = ","; } $str .= $sep . $key . "='" . $value . "'"; } $sql = "update {$table} set {$str} " . ($where == null? null : " where ".$where); if (mysql_query($sql)) { return mysql_affected_rows(); } else { return false; } }
-
截图1赞 · 0采集
-
- miracleAAA 2016-12-17
- 删除函数封装
-
截图0赞 · 1采集
-
- miracleAAA 2016-12-17
- $value=mysql_real_escape_string($value);对于传过来的$value进行过滤,可以转化无效字符
-
截图0赞 · 0采集
-
- miracleAAA 2016-12-17
- 更新数据方法封装
-
截图0赞 · 1采集
-
- 流浪佳人纳入怀 2016-11-04
- 删除函数封装
-
截图0赞 · 0采集
-
- 流浪佳人纳入怀 2016-11-04
- 更新数据方法封装
-
截图0赞 · 0采集
-
- LY41 2016-10-30
- function update($table,$arr,$where){ //update 表名 set 字段=字段值 where .... foreach($arr as $key => $value){ //字符串过滤转义 $value=mysql_real_escape_string($value); $keyAndvalueArr[]="`".$key."`=`".$value."`"; } //arr('字段=字段值','字段1=字段值1',...); //以,拼接 $keyAndvalues=implode(",",$keyAndvalueArr); // $sql="update".$table."set".$keyAndvalues."where".$where; $this->query($sql); } function del($table,$where){ $sql="delete from".$table." where ".$where; //删除语句拼接 $this->query($sql); }
- 0赞 · 0采集
-
- 小安Andrew 2016-10-10
- 删除方法封装
-
截图0赞 · 0采集
-
- 小安Andrew 2016-10-10
- mysql_real_escape_string 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集(安全过滤)
-
截图0赞 · 1采集
-
- 小安Andrew 2016-10-10
- 思路解析
-
截图0赞 · 0采集
-
- 小安Andrew 2016-10-10
- update更新方法封装
-
截图0赞 · 0采集
-
- woider 2016-09-14
- foreach ($data as $key => $value) { $kstr = '`' . $key . '`'; $vstr = '`' . $value . '`'; array_push($sets, $kstr . '=' . $vstr); } $kav = implode(',', $sets); $sql = "UPDATE {$table} SET {$kav} WHERE {$where}";
- 1赞 · 2采集
-
- 00ZZ00 2016-09-05
- 转义非法字符
-
截图0赞 · 0采集
-
- ORCLee 2016-07-17
- mysql_real_escape_string:转义 SQL 语句中使用的字符串中的特殊字符。
-
截图0赞 · 0采集
-
- DansonL 2016-07-12
- 对每一个传入系统的值进行有害字符过滤。
-
截图0赞 · 0采集
-
- Magicallu 2016-07-11
- mysql_real_escape_string
-
截图0赞 · 0采集
-
- 有点xiaoping 2016-03-21
- 过滤非法字符
-
截图0赞 · 0采集
-
- TracyAnt 2016-01-17
- 删除操作:delete from table where(、、、、、、)
-
截图0赞 · 0采集
-
- TracyAnt 2016-01-17
- 数据库更新操作:update table(表名) set 字段1 =( ),字段2 = (),、、、、、、where( ) mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符,起到保护的作用! 下列字符受影响: \x00 \n \r \ ' " \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
-
截图0赞 · 0采集
-
- Endless_Undead 2015-06-29
- $value = mysql_real_escape_string($value); 过滤有害字符
- 0赞 · 4采集
-
- 海若痕 2015-05-26
- $value = mysql_real_escape_string($value); 过滤有害字符
- 0赞 · 0采集
-
- qiheizhiya 2015-04-28
- $value = mysql_real_escape_string($value); 过滤有害字符 $keyandvalues= impload(",",$keyandvaluearray); //将数组变成字符串 通过,连接 后续语句为: $sql = "UPDATE".$table. "set".$keyandvalues." "where".$where //此句完成sql的条件语句的拼接 $this->query($sql); //此句完成sql的实际操作
- 0赞 · 0采集
-
- lweb 2015-04-05
- $keyandvalues= impload(",",$keyandvaluearray); //将数组变成字符串 通过,连接 后续语句为: $sql = "UPDATE".$table. "set".$keyandvalues." "where".$where //此句完成sql的条件语句的拼接 $this->query($sql); //此句完成sql的实际操作 $value = mysql_real_escape_string($value); 过滤有害字符
- 0赞 · 0采集
-
- 陌猫 2015-03-27
- $value = mysql_real_escape_string($value); 过滤有害字符
- 0赞 · 0采集
-
- 陌猫 2015-03-27
- $keyandvalues= impload(",",$keyandvaluearray); //将数组变成字符串 通过,连接 后续语句为: $sql = "UPDATE".$table. "set".$keyandvalues." "where".$where //此句完成sql的条件语句的拼接 $this->query($sql); //此句完成sql的实际操作
- 0赞 · 1采集
-
- hongru 2015-01-23
- $keyandvalues= impload(",",$keyandvaluearray); //将数组变成字符串 通过,连接 后续语句为: $sql = "UPDATE".$table. "set".$keyandvalues." "where".$where //此句完成sql的条件语句的拼接 $this->query($sql); //此句完成sql的实际操作
- 0赞 · 1采集
数据加载中...