// 不安全的写法举例 1 $_GET ['id']=8;// 希望得到的是正整数 $data=M('Member')->where('id='.$_GET['id'])->find(); $_GET ['id']='8 or status=1';// 隐患:构造畸形查询条件进行注入; // 安全的替换写法 $data=M ('Member')->where (array ('id'=>$_GET ['id']))->find ();// 使用数组方式将自动使用框架自带的字段类型检测防止注入 $data=M ('Member')->where (array ('id'=>(int)$_GET ['id']))->find ();// 类型约束 $data=M ('Member')->where ('id='.intval ($_GET ['id']))->find ();// 类型转换 $data=M ('Member')->where (array ('id'=>I ('get.id','','intval')))->find ();// 本人习惯写法 $data=M ('Member')->where (array ('id'=>':id'))->bind (':id',I ('get.id'))->select ();//PDO 驱动可以使用参数绑定 $data=M ('Member')->where ("id=% d",array ($_GET ['id']))->find ();// 预处理机制 // 不安全的写法举例 2 $_GET ['id']=8;// 希望得到的是正整数 $data=M ()->query ('SELECT * FROM `member` WHERE id='.$_GET ['id']);// 执行的 SQL 语句 $_GET ['id']='8 UNION SELECT * FROM `member`';;// 隐患:构造畸形语句进行注入;
SQL 语句的正确姿势
2022-12-29
112
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《
阿里云开发者社区用户服务协议》和
《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写
侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
SQL 语句的正确姿势
相关文章
|
SQL
XML
Oracle
|
6月前
|
SQL
Oracle
关系型数据库
|
SQL
存储
缓存
|
SQL
存储
关系型数据库
|
SQL
Python
|
SQL
数据库
Python
|
SQL
程序员
开发工具
【Sql Server】基础之分组查询重复出现多条记录的SQL语句,以及group by和having、min函数运用
基础之分组查询重复出现多条记录的SQL语句,以及group by和having、min函数运用
549
0
0
|
SQL
|
SQL
数据库
数据安全/隐私保护
|
SQL
存储
安全
热门文章
最新文章
1
Flask 框架防止 SQL 注入攻击的方法
2
Vanna:开源 AI 检索生成框架,自动生成精确的 SQL 查询
3
SQL自学笔记(3):SQL里的DCL,DQL都代表什么?
4
Flink SQL Deduplication 去重以及如何获取最新状态操作
5
MySQL导入.sql文件后数据库乱码问题
6
MySQL进阶突击系列(02)一条更新SQL执行过程 | 讲透undoLog、redoLog、binLog日志三宝
7
MySQL 高级(进阶) SQL 语句
8
MySQL进阶突击系列(01)一条简单SQL搞懂MySQL架构原理 | 含实用命令参数集
9
SQL自学笔记(1):什么是SQL?有什么用?
10
SQL慢查询优化策略