-
最先生
- 为什么$mysqli->query 可以返回结果集需要存储到变量,$mysqli_stmt->store_result(); 返回的结果集存储到哪里?
- 2019-04-06 0回答·1270浏览
-
hacker_m
- 预处理语句这个如何写入session呢
不大清楚呢,你百度一下吧
- 2017-12-17 2回答·1498浏览
-
weibo_月丶是故乡明_0
- mysqli登录和注册操作
原来是之前mysql表中的password的varchar长度设置是11 现在改成大于32位即可
- 2017-11-26 1回答·1484浏览
-
Eleanor的蚂蚁
- php大神看过来
说明你这个结果集里面没有数据
- 2017-06-23 2回答·1350浏览
-
哎咿呦鲍鲍
- 关于书写html
很多IDE已经集成了,比如html:5按下TAB便可以展开(老师输入的应该是html:xml是HTML4和XHTML的标准,目HTML5标准是目前最新最留下的标准),对于前端开发非常方便
- 2017-02-25 2回答·834浏览
-
坚持MyDream
- $mysqli_stmt->bind_param('ss',$username,$password);之后改变了什么
- 已采纳 Lydiar3308665 的回答
相当于将?当做一个x来执行了语句,后面的绑定参数操作,然后执行操作之后,不再是用原来的句子查询一遍,而是将编译好的语句,带入特定参数,执行时将‘or 1=1 #当做一个字符串实参代入,而不是拼接成完整sql语句再去执行。。。。。。
- 2016-12-08 2回答·2428浏览
-
qq_任重道远_1
- 为什么会有sql注入
没用预处理,语句参数相当于把表单提交的数据当参数传递之后拼接成完整语句再查询,在执行的时候执行了别的语句。比如例子中的那个语句,本来是selete * from user where username=[参数1] and password=[参数2],但是拼接了用户传递的参数之后,执行时候是:select * from user where username='' or 1=1 # and password =[参数2],#之后相当于注释了,实际执行的就是select * from user where username='' or 1=1,而1=1为真,or true 返回true,所以实际返回的是整个表的数据。所以结果集不为0,故而显示登录成功。
- 2016-11-08 2回答·1256浏览
-
dayanjun
- 绑定参数中 'ss' 是什么意思?
- 已采纳 西西言雨 的回答
s代表字符,就是设置两个参数的类型都为字符型,如果有三个参数,分别为字符,数字,浮点,就是sid
- 2016-09-09 1回答·1307浏览
-
灿烂笑容_
- 请教未定义这要如何解决?
- 已采纳 今月曾经照古人 的回答
1)对于Notice提示, http://www.jb51.net/article/30328.htm;
2)因为是get方式获取参数,所以(在form的Method=post的时候)当然得写在URL后面;
- 2016-08-05 1回答·1075浏览
-
eeerrr
- 问题Fatal error: Call to a member function bind_param() on a non-object in
代码里有错误代码引起的
- 2016-07-01 3回答·2745浏览
-
眼中的黑白
- sql注入
可以都写的,这样安全性高点。没有绝对的好不好,看情况而定
- 2016-03-11 1回答·800浏览
-
qq_BeyonceInt_0
- 遇到了点问题,得不到正确的结果~~~大神帮忙看下
$sql="select * from user where username=? and password=?";
$res=$mysqli->prepare($sql);
$res->bind_param('ss',$username,$password);
$res->execute();
$res->store_result();
echo $res->num_rows;
exit;这样就可以
- 2015-11-29 3回答·1341浏览
-
心的幻想
- 这里为什么要在$name 外面加{ }号和引号啊
- 已采纳 pardon110 的回答
$name是个字符串,所以要加单引号,如果是数字加不加不影响最终的效果。
php大括号在变量间接引用中进行定界,避免歧义。
$var='sky';
echo "$varboy"; //空
echo "{$var}boy"; // skyboy简单点,界定变量的名称
至于username=&name是绝对不可以的, &表示引用不能随便用。
- 2015-11-04 1回答·1738浏览
-
YangImooc
- 默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()转义函数
- 已采纳 King 的回答
这个不会,这个是在之前版本开启魔术引号时才会有的,在新版本中这个魔术引号已经废弃了
^-^...
- 2015-07-22 3回答·1568浏览
-
冷眼罗汉
- SQL注入的原理
- 已采纳 liu4sui 的回答
sql注入是10年前 2004年才在国内开始的。现在基本很少有简单注入的方法了。
除非你自己研究源码,不然普通的注入基本都会被防注入模块干掉. 像mysql,php等都有相对于的专有方法处理注入问题,这点除非你有明确目的,如果只想尝鲜?不好意思,这个是10年前的东西,可以学习一下理论,无法发挥大用处。
还有一点,注入是门艺术。
通常网络想玩攻击的各位,小弟给各位一个建议。现在是法治社会,打人前一定要先找好退路,不然就麻烦大了。
通常网络看到的,都是啥找肉鸡之类的,哎。。。炮灰是怎么炼成的哈哈啊
扩展多讲一点~
古语有云磨刀不误砍柴工,工欲善其事,必先利其器。
网络是虚拟的,追踪都是通过
追查-->肉鸡ip----->跨国n级代理IP---->IP----->网路提供商----->用户注册信息
a.由此可见避免被短时间堵住,可以通过不同国家多级肉鸡代理,跨国合作不是想象那么简单滴(找点与自己真实国家所对立的肉鸡,难度更大哈哈)
b.拿下网络供应商,把自己所有信息都改成 隔壁王二的家庭住址啥的,信息一定要准确,不然会被内部审查出来。这样就算你倒霉,网警追查到IP拿到供应商对比调出的登记地址 也不是你自己的,给自己充分的跑路时间
c.明白人一看就 理解了 攻击,追查的方式。可以千变万化,
再改一下共大家参考
追查-->肉鸡ip----->跨国n级代理IP---->IP----->网路提供商----->自己------>肉鸡(用户注册信息)
改变后的保护方案,如果网警经验不足,嘿嘿嫁祸他人了。。 这个主要是把自己也算在整个攻击的一环,把自己当做自己的肉鸡。
以上说的简单,包含很多的东西。新手只看表面,高手不用我再说啥,只定有你们可以借鉴的地方。
我之所以写这些出来,就是想让上面想玩sql inject 的朋友,没保护别到处测试,小心侧漏~~~
备注:
Duang~MySQLi扩展库来袭... 我还没看过,找机会看看~~
以上只是我的个人观点,仅供客官娱乐~~~
- 2015-06-01 3回答·1545浏览
