// 不安全的写法举例 1 $_GET ['id']=8;// 希望得到的是正整数 $data=M('Member')->where('id='.$_GET['id'])->find(); $_GET ['id']='8 or status=1';// 隐患:构造畸形查询条件进行注入; // 安全的替换写法 $data=M ('Member')->where (array ('id'=>$_GET ['id']))->find ();// 使用数组方式将自动使用框架自带的字段类型检测防止注入 $data=M ('Member')->where (array ('id'=>(int)$_GET ['id']))->find ();// 类型约束 $data=M ('Member')->where ('id='.intval ($_GET ['id']))->find ();// 类型转换 $data=M ('Member')->where (array ('id'=>I ('get.id','','intval')))->find ();// 本人习惯写法 $data=M ('Member')->where (array ('id'=>':id'))->bind (':id',I ('get.id'))->select ();//PDO 驱动可以使用参数绑定 $data=M ('Member')->where ("id=% d",array ($_GET ['id']))->find ();// 预处理机制 // 不安全的写法举例 2 $_GET ['id']=8;// 希望得到的是正整数 $data=M ()->query ('SELECT * FROM `member` WHERE id='.$_GET ['id']);// 执行的 SQL 语句 $_GET ['id']='8 UNION SELECT * FROM `member`';;// 隐患:构造畸形语句进行注入;
SQL 语句的正确姿势
2022-12-29
102
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《
阿里云开发者社区用户服务协议》和
《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写
侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
SQL 语句的正确姿势
相关文章
|
SQL
XML
Oracle
|
4月前
|
SQL
Oracle
关系型数据库
|
SQL
存储
缓存
|
12月前
|
SQL
存储
关系型数据库
|
SQL
Python
|
SQL
数据库
Python
|
SQL
程序员
开发工具
【Sql Server】基础之分组查询重复出现多条记录的SQL语句,以及group by和having、min函数运用
基础之分组查询重复出现多条记录的SQL语句,以及group by和having、min函数运用
526
0
0
|
SQL
|
SQL
数据库
数据安全/隐私保护
|
SQL
存储
安全
