php连接Mysql 用stmt防注入如何进行模糊查询-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

php连接Mysql 用stmt防注入如何进行模糊查询

2016-02-08 13:07:04 2402 1

表名和列名也是否可以用参数化导入像这样
1
参数化防止注入模糊查询:
1
经过尝试都不能使用,请问带%模糊查询如何书写SQL的prepare语句?
有一种可行的方式如下:
sql = 'SELECT * FROM tableA WHERE col LIKE '%'.$string.'%'';
但是失去了防注入的意义,请问有没有正确的方式

取消 提交回答
全部回答(1)
  • 蛮大人123
    2019-07-17 18:39:34

    不能。
    原来的prepare引入的目的,是为了预编译,生成执行计划,从而提高性能。本意可不是为了防止sqlinject。如果table都没有了,是无法预编译的。就没有意义了。
    $sql = "SELECT * FROM tableA WHERE col LIKE CONCAT('%',?,'%')";
    涉及到的是 PHP Binding a Wildcard 的知识。如果不bind parameter。可以直接拼接字符串。对引入的参数,都做一个escape就安全了。(函数: mysql_real_escape_string)

    0 0
相关问答

1

回答

dts自建MySQL同步至RDS MySQL支持的目标数据库有哪些?

2021-12-12 21:24:09 162浏览量 回答数 1

1

回答

dts自建MySQL同步至RDS MySQL的源库限制的说明是什么?

2021-12-12 21:25:37 96浏览量 回答数 1

1

回答

dts自建MySQL同步至RDS MySQL的其他限制的说明是什么?

2021-12-12 21:26:14 80浏览量 回答数 1

1

回答

dts自建MySQL同步至RDS MySQL的特殊情况的说明是什么?

2021-12-12 21:26:46 94浏览量 回答数 1

1

回答

dts自建MySQL同步至RDS MySQL支持的同步架构有哪些?

2021-12-12 21:27:32 151浏览量 回答数 1

1

回答

dts自建MySQL同步至RDS MySQL支持同步的SQL操作有哪些?

2021-12-12 21:28:06 196浏览量 回答数 1

1

回答

dts自建MySQL同步至RDS MySQL数据库账号的权限要求是什么?

2021-12-12 21:28:58 346浏览量 回答数 1

1

回答

dts自建MySQL同步至RDS MySQL数据库账号创建及授权方法是什么?

2021-12-12 21:29:30 243浏览量 回答数 1

1

回答

dts自建MySQL同步至RDS MySQL的源库信息的配置及其说明?

2021-12-12 21:31:52 151浏览量 回答数 1

1

回答

dts自建MySQL同步至RDS MySQL的目标库信息的配置及其说明?

2021-12-12 21:33:19 142浏览量 回答数 1
+关注
蛮大人123
我说我不帅他们就打我,还说我虚伪
文章
问答
问答排行榜
最热
最新
相关电子书
更多
MySQL 5.7让优化更轻松
立即下载
PostgresChina2018_张启程_为什么我们抛弃MongoDB和MySQL,选择PgSQL
立即下载
好的 MySQL 兼容可以做到什么程度
立即下载