第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號安全,請及時綁定郵箱和手機(jī)立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

如何使用動態(tài)表名防止SQL注入?

如何使用動態(tài)表名防止SQL注入?

絕地?zé)o雙 2019-07-09 15:43:12
如何使用動態(tài)表名防止SQL注入?我這次討論的名聲很高PHP蓋伊:PDO在這里沒用。以及MySQL_REAL_EXECH_String。質(zhì)量極差。這當(dāng)然很酷,但我真的不知道建議使用mysql_real_escape_string或PDO修復(fù)此代碼:<script type="text/javascript">     var layer;     window.location.href = "example3.php?layer="+ layer;    <?php        //Make a MySQL connection         $query = "SELECT Category, COUNT(BUSNAME)           FROM ".$_GET['layer']." GROUP BY Category";         $result = mysql_query($query) or die(mysql_error());變成這樣$layer = mysql_real_escape_string($_GET['layer']);$query = "SELECT Category, COUNT(BUSNAME) FROM `".$layer."` GROUP BY Category";考慮到JavaScript代碼得到客戶端發(fā)送。
查看完整描述

3 回答

?
嚕嚕噠

TA貢獻(xiàn)1784條經(jīng)驗 獲得超7個贊

為了記錄在案,這里有修復(fù)這個洞的示例代碼。

$allowed_tables = array('table1', 'table2');$clas = $_POST['clas'];if (in_array($clas, $allowed_tables)) {
    $query = "SELECT * FROM `$clas`";}


查看完整回答
反對 回復(fù) 2019-07-09
?
慕標(biāo)5832272

TA貢獻(xiàn)1966條經(jīng)驗 獲得超4個贊

為了回答如何實際修復(fù)代碼:

'...FROM `' . str_replace('`', '``', $tableName) . '`...'

這重復(fù)了表名中的所有回退(MySQL中的轉(zhuǎn)義就是這樣完成的)。

有一件事我不確定,那就是這是否是“編碼安全”(如何正確稱呼它)。一個典型的建議mysql_real_escape_string而不是addslashes,因為前者考慮到MySQL連接的編碼。也許這個問題也適用于這里。


查看完整回答
反對 回復(fù) 2019-07-09
  • 3 回答
  • 0 關(guān)注
  • 1650 瀏覽

添加回答

舉報

0/150
提交
取消
微信客服

購課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動學(xué)習(xí)伙伴

 公眾號

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號