SQL 语句的正确姿势

最新推荐文章于 2024-08-14 23:30:40 发布
最新推荐文章于 2024-08-14 23:30:40 发布
阅读量64 收藏
点赞数
文章标签: python php
原文链接:https://my.oschina.net/slagga/blog/809500
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

<?php
 
//不安全的写法举例1
 $_GET['id']=8;//希望得到的是正整数
 $data=M('Member')->where('id='.$_GET['id'])->find();
 $_GET['id']='8 or status=1';//隐患:构造畸形查询条件进行注入;
           
 //安全的替换写法
 $data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用数组方式将自动使用框架自带的字段类型检测防止注入
 $data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//类型约束
 $data=M('Member')->where('id='.intval($_GET['id']))->find();//类型转换
 $data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//本人习惯写法
 $data=M('Member')->where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驱动可以使用参数绑定
 $data=M('Member')->where("id=%d",array($_GET['id']))->find();//预处理机制
           
 //不安全的写法举例2
 $_GET['id']=8;//希望得到的是正整数
 $data=M()->query('SELECT * FROM `member` WHERE  id='.$_GET['id']);//执行的SQL语句
 $_GET['id']='8  UNION SELECT * FROM `member`';;//隐患:构造畸形语句进行注入;
 
 

转载于:https://my.oschina.net/slagga/blog/809500

weixin_34391445
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql语句中用问号代替参数
08-02
SQL语句中,使用问号(`?`)作为参数占位符是一种常见的做法,尤其是在编程语言如Java中与数据库交互时。这种方式被称为预编译语句或参数化查询,它具有重要的安全性和性能优势。 ### SQL参数化查询的概念 参数化...
SQL语句语法
03-21
SQL语句是结构化查询语言(Structured Query Language)的简称,是用于管理和处理关系数据库的标准语言。本篇文章将深入探讨SQL语句的基本语法,包括数据定义、数据操作、实用工具、事务处理和锁定、数据库管理、...
SQL注入姿势(1)
weixin_44300286的博客
04-26 430
第一关 第一关就是属于五种漏洞类型的第一种(基于错误的get单引号字符型注入) 1、常规性测试 先输入不同的id参数值,id=1、2、3… ,发现网页正常返回结果 2、判断注入点 一般注入点有 ‘,",无,),’),")等 ,后面接or 1=1 和 1=2 输入id=1’,页面输出错误信息 由此我们可以推测出后台的select语句应该为:select * from table where id...
SQL注入实战之各种姿势(1-10关)
sinat_35855737的博客
07-21 196
原文链接
SQL语句优化
qq_36078699的博客
07-22 707
SQL语句优化
如何利用python来提取SQL语句中的表名称
theskylife的博客
09-08 3115
在一些场景下,我们需要从一个SQL语句中提取出对应的表名,那么如何利用python来提取对应的表名称?本文带你了解如何使用正确姿势打开
mysql sql语句优化面试_面试不要一把梭了,这才是SQL优化的正确姿势
weixin_34036667的博客
02-01 192
全文内容预览:所以,在开始之前(MySQL 优化),咱们先来聊聊性能优化的一些原则。性能优化原则和分类性能优化一般可以分为:主动优化被动优化所谓的主动优化是指不需要外力的推动而自发进行的一种行为,比如当服务没有明显的卡顿、宕机或者硬件指标异常的情况下,自我出发去优化的行为,就可以称之为主动优化。而被动优化刚好与主动优化相反,它是指在发现了服务器卡顿、服务异常或者物理指标异常的情况下,才去优化的这种...
姿势的52条SQL语句性能优化
python爬虫人工智能大数据
01-02 86
转自:cnblogs.com/SimpleWu/p/9929043.html本文会提到 52 条 SQL 语句性能优化策略。1、对查询进行优化,应尽量避免全表扫描,首先应考虑在 WHER...
mysql循环执行sql语句,与大部分博客不一样的正确写法
热门推荐
L9009121314的博客
12-07 1万+
mysql循环执行sql语句,网上搜到的结果大部分是这样的:我不知道博客作者有没有测过,还是我MySQL软件有问题。经过研究学习,测试,正确姿势如下:
CTF-SQL注入的姿势
qq_41996851的博客
04-21 676
系统学习SQL注入 常用函数: 函数名称 函数功能 函数使用说明 system_user() 系统用户名 user() 用户名 current_user() 当前用户名 session_user() 连接数据库的用户名 database() 数据库名 version()/@@version 数据库版本 @@datadir 数据库路径 @@basedir 数据库安装路径 @@version_compile_os 操作系统 count() 返
EF Core 2.2中将ORM框架生成的SQL语句输出到控制台
qq_34550459的博客
07-24 1134
EF Core 2.2中将ORM框架生成的SQL语句输出到控制台
E10查用SQL语句集合E10查用SQL语句集合
06-09
名称:E10查用SQL语句集合 适用人群:ERP管理员 适用场景:E10ERP系统上线持续改善,SQL常用语句 功能描述:PO待交明细、出入库统计表、待领料清单、请购中品号无单价的品号清单、请购单中无品号采购信息的品号清单 ...
sql语句sql语句sql语句sql语句.txt
06-01
sql语句sql语句sql语句sql语句sql语句
泛微系统SQL语句大全
12-29
**泛微系统SQL语句大全** 在IT行业中,泛微系统是一种广泛应用的企业级协同办公软件,主要用于提升组织的管理效率和工作流程自动化。本资源集合了泛微系统中与SQL Server数据库交互时常用的各种SQL语句,涵盖了组织...
机器学习常用包numpy篇(零)前置知识·数值类型
最新发布
2301_79144343的博客
08-14 154
本文仅介绍numpy中的数值类型
汽车免拆诊断案例 | DAF(达富)汽油尾气处理液故障警示
虹科Pico汽车示波器的博客
08-14 519
一辆DAF(达富)故障警示灯亮,提示DEF系统故障,使用虹科Pico汽车示波器检查发现故障的原因是......
python 实现tree sort树排序算法
luthane的博客
08-14 362
树排序”(Tree Sort)并不是一个广泛认知或标准算法库中的直接术语,但我们可以从字面意思上理解它可能指的是一种基于树结构的排序算法。在算法和数据结构领域,有多种使用树来辅助排序的算法,但没有一个特定的、广泛接受的“树排序”算法。
C++_基本语法笔记_模板
qq_45629864的博客
08-14 254
思想是Java里的泛型(不确定用什么类型的数据)这里template这一句,意思是声明T是泛型,后面写用到泛型T的函数。建议都用应用场景:不同数据类型的交换函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值