第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問(wèn)題,去搜搜看,總會(huì)有你想問(wèn)的

如何使用動(dòng)態(tài)表名防止SQL注入?

如何使用動(dòng)態(tài)表名防止SQL注入?

絕地?zé)o雙 2019-07-09 15:43:12
如何使用動(dòng)態(tài)表名防止SQL注入?我這次討論的名聲很高PHP蓋伊:PDO在這里沒(méi)用。以及MySQL_REAL_EXECH_String。質(zhì)量極差。這當(dāng)然很酷,但我真的不知道建議使用mysql_real_escape_string或PDO修復(fù)此代碼:<script type="text/javascript">     var layer;     window.location.href = "example3.php?layer="+ layer;    <?php        //Make a MySQL connection         $query = "SELECT Category, COUNT(BUSNAME)           FROM ".$_GET['layer']." GROUP BY Category";         $result = mysql_query($query) or die(mysql_error());變成這樣$layer = mysql_real_escape_string($_GET['layer']);$query = "SELECT Category, COUNT(BUSNAME) FROM `".$layer."` GROUP BY Category";考慮到JavaScript代碼得到客戶端發(fā)送。
查看完整描述

3 回答

?
嚕嚕噠

TA貢獻(xiàn)1784條經(jīng)驗(yàn) 獲得超7個(gè)贊

為了記錄在案,這里有修復(fù)這個(gè)洞的示例代碼。

$allowed_tables = array('table1', 'table2');$clas = $_POST['clas'];if (in_array($clas, $allowed_tables)) {
    $query = "SELECT * FROM `$clas`";}


查看完整回答
反對(duì) 回復(fù) 2019-07-09
?
慕標(biāo)5832272

TA貢獻(xiàn)1966條經(jīng)驗(yàn) 獲得超4個(gè)贊

為了回答如何實(shí)際修復(fù)代碼:

'...FROM `' . str_replace('`', '``', $tableName) . '`...'

這重復(fù)了表名中的所有回退(MySQL中的轉(zhuǎn)義就是這樣完成的)。

有一件事我不確定,那就是這是否是“編碼安全”(如何正確稱(chēng)呼它)。一個(gè)典型的建議mysql_real_escape_string而不是addslashes,因?yàn)榍罢呖紤]到MySQL連接的編碼。也許這個(gè)問(wèn)題也適用于這里。


查看完整回答
反對(duì) 回復(fù) 2019-07-09
  • 3 回答
  • 0 關(guān)注
  • 1640 瀏覽
慕課專(zhuān)欄
更多

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購(gòu)課補(bǔ)貼
聯(lián)系客服咨詢(xún)優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

 公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)