thinkphp mysql绑定变量_thinkPHP替换SQL变量

最新推荐文章于 2021-11-28 23:41:06 发布
最新推荐文章于 2021-11-28 23:41:06 发布
阅读量154 收藏
点赞数
文章标签: thinkphp mysql绑定变量
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35942678/article/details/113304298
版权
本文探讨了在使用ThinkPHP框架进行数据库查询时遇到的一个问题,即WHERE条件字符串格式化错误导致所有数据被查询出来。问题源于`DATE_FORMAT`函数中的百分号 `%` 被错误解析。解决方案包括:1) 对日期格式字符串使用双百分号 `%%` 进行转义;2) 直接使用MySQL的字符串截取函数避免 `%` 符号。通过这两种方法,可以正确构造WHERE条件,从而获取预期的查询结果。
摘要由CSDN通过智能技术生成

使用tp里

M()->where(pb_id=%d and course=%d and DATE_FORMAT(pub_time, \"%H:%i:%s\") < "%s", array($pb_id, $coursse, $time))->select();

想要查询拆书包,结果是把所有的数据都查出来了,

调试断点时发现tp把 where的第二个数组参数交给相应连接mysql的escapeString方法了,

如mysql的连接方式就是mysql_escape_string

mysqli的当然就是mysqli_escape_string

然后用php的函数vsprintf()把第一个参数 和第二个参数按格式打印出来

这样写的问题就是发现第一个参数有6个%,但是给的参数只有3个,导致where是false

改进:

1、把where的字符改成 DATE_FORMAT(pub_time, \"%%H:%%i:%%s\")

2、另一种是直接用mysql的截取方法,不出现%

附:

参数 format 是转换的格式,以百分比符号 ("%") 开始到转换字符结束。下面的可能的 format 值:

%% - 返回百分比符号

%b - 二进制数

%c - 依照 ASCII 值的字符

%d - 带符号十进制数

%e - 可续计数法(比如 1.5e+3)

%u - 无符号十进制数

%f - 浮点数(local settings aware)

%F - 浮点数(not local settings aware)

%o - 八进制数

%s - 字符串

%x - 十六进制数(小写字母)

%X - 十六进制数(大写字母)

arg1, arg2, ++ 等参数将插入到主字符串中的百分号 (%) 符号处。该函数是逐步执行的。在第一个 % 符号中,插入 arg1,在第二个 % 符号处,插入 arg2,依此类推。

英语兔
关注
thinkphp mysql cache_TP5之Cache的原理及使用 - thinkphp5.0
weixin_39611546的博客
01-30 577
使用TP5做为项目后台接口,在二级目录下配置nginx1、首先,你要确保在不配置二级目录的情况下,可以通过浏览器访问到。例如:http://www.example.com/End/public/index.php?s=index/index/index 2、将下面一location 进行二...在当今大流量的互联网之中,Cache的重要性不言而喻。ThinkPhp5作为国内主流框架,提供了强大的C...
tp5防止sql注入mysql_【漏洞分析】ThinkPHP 5.0版本 SQL注入漏洞分析
weixin_34954140的博客
01-30 1003
阅读:6,774前段时间,ThinkPHP发布了V5.0.16版本的release,该版本提到了安全更新。本篇文章以此次安全更新入手,对ThinkPHP 5.0版本 SQL注入漏洞进行了详细分析。文末还有测试小问题,看看大家get到这个漏洞的精髓了吗?前言Thinkphp V5.0.16版本的release说明如下:说明中提到了安全更新,但并没有提到是什么安全问题。V5.0.16的commits记...
ThinkPHP框架获取最后一次执行SQL语句及变量调试简单操作示例
12-17
本文实例讲述了ThinkPHP框架获取最后一次执行SQL语句及变量调试简单操作。分享给大家供大家参考,具体如下: ThinkPHP中获取最后一次执行sql语句的 方法有两种: 其一是 调用模型 获取 如: $sql = $model ->getLastSql(); Thinkphp中Model类,有getLastSql这个函数,甚至还有,getLastInsID,getDbError,getError,getPk,getDbFields等函数。这些函数都是我们经常可能会用到的model层的函数。 其二是 在3.2.3版本,新增fetchSql()函数。 如 $sql= $model->f
thinkphp mysql修改数据_ThinkPHP框架实现数据增删改
weixin_34391934的博客
02-03 456
使用TP框架主要是比较简单一些,之前我们写增删改,代码量相对来说还是比较多的,这里利用tp框架写起来是非常简单的,大大的减少了代码量这里我是以数据库的nation表为例的,nation表只有两列,一列是code 另一列是name,首先是增加add方法functinon add(){if(empty($_POST))//首先要判断一下是否有传过来的值{//如果没有传过来的值,那么直接显示模板就可以...
oracle中关于替代变量,accpt,绑定变量,字符变量
weixin_34407348的博客
07-22 173
此文档介绍两个事情,一个是替代变量,另一个就是了解一下硬解析和软解析对于变量来说declare定义的好还是variable定义的好 在oracle中,对于一个提交的sql语句,存在两种可选的解析过程,一种叫做硬解析,一种叫做软解析.一个硬解析需要经解析,制定执行路径,优化访问计划等许多的步骤.硬解释不仅仅耗费大量的cpu,更重要的是会占据重要的们闩(latch)资源,严重...
php 执行 变量 sql,不能执行的sql变量,改用显示结果为值,就可执行,求解。
weixin_29376541的博客
03-26 118
该楼层疑似违规已被系统折叠隐藏此楼查看此楼下面是一个完整的程序,意图是用表aa的数据对表bb进行更新,问题集中在最后四行,按编号顺序看注解的问题,`如有兴趣可亲自试试。function makeTbl($name){$sql="drop table if exists ".$name;mysql_query($sql);$sql="CREATE TABLE ".$name."(realName ...
tp5 session mysql_TP5 Mysql数据库Session
weixin_29847829的博客
01-19 133
这里给自己做一个记录TP5 版本thinkphp_5.0.19_with_ext1. 创建数据库表CREATE TABLE `session` (`session_id` CHAR(40) NOT NULL COMMENT 'SESSION键',`data` VARCHAR(255) NOT NULL COMMENT 'SESSION值',`update_time` INT(10) UNSIGN...
ThinkPHP5.0.9_SQL注入漏洞分析
11-28 1044
ThinkPHP5.0.9_SQL注入漏洞分析 ThinkPHP5.0.9 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $id = input('id/a'); $data = db('users')->where('id','in',$id)->select(); dump($data); } } PO
【PHP图书管理系统】 基于thinkphp6.0+layui.js+mysql开发
最新发布
02-25
【PHP图书管理系统】是采用流行的PHP框架ThinkPHP6.0,结合轻量级的前端UI库Layui.js以及关系型数据库MySQL开发的一款高效、稳定的图书管理解决方案。这个系统经过全面的功能测试,确保在实际应用中能无故障运行,...
THINKPHP 安全
张默的博客
07-08 1584
输入过滤 永远不要相信客户端提交的数据,所以对于输入数据的过滤势在必行,我们建议: 开启令牌验证避免数据的重复提交; 使用自动验证和自动完成机制进行初步过滤; 使用系统提供的I函数获取用户输入数据; 对不同的应用需求设置不同的安全过滤函数,常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等   使用I函数过...
thinkphp mysql绑定变量_thinkphp5数据库与模型
weixin_39663360的博客
02-22 430
连接与查询构造器数据库操作运行流程图.png1.数据库操作运行流程图* ThinkPHP5的数据库操作对底层进行优化设计,对各种操作进行高级封装,既可以直接使用连接器进行高效的原生查询,也可以使用封装好的查询构造器进行只管便捷的查询。数据库连接配置1.配置方法:* 静态连接:应用/模块中的数据库配置文件database.php* 动态连接:入口类Db.php中的connect(参数[数组或字符串]...
MySQL+SQL函数大全
专注于.NET和JS的开发和研究
12-07 4016
MySQL函数大全》[color=red]字符串函数[/color]ASCII(str)  返回字符串str的第一个字符的ASCII值(str是空串时返回0)mysql> select ASCII(2);  -> 50mysql> select ASCII(2);  -> 50mysql> select ASCII(dete);  -> 100ORD(str)  如果字符串str
thinkPHP替换SQL变量
dejiushu5831的博客
12-29 134
使用tp里M()->where(pb_id=%d and course=%d and DATE_FORMAT(pub_time, \"%H:%i:%s\") < "%s", array($pb_id, $coursse, $time))->select(); 想要查询拆书包,结果是把所有的数据都查出来了,调试断点时发现tp把 where的第二个数组参数交给相应连接my...
TP5 MySQL查询 mobile字段 中间替换成*****的写法
weixin_42957379的博客
05-15 1205
Db::name('sign_bank') ->field(['bankname','bankcode','agreeid','INSERT(mobile,4,5,"*****")'=>'mobile']) ->where('uid',$uid) ->select(); 常用的MySQL函数; 一、数学函数 ABS(x)返回x的绝对值 BIN(x)返回x...
熟练使用mysql的replace替换函数
热门推荐
myarche的博客
11-21 3万+
因为一个网站后台要写一个数据库替换的插件,所以去温习mysql函数。 如果是基于wordpress就好办了,因为有大量类似插件,但是由于是独立开发,所以只好自己写一个了。 从昨晚开始在runoob开始从头看mysql教程手册,今早三点醒来又开始看,到六点看完了。 函数比较简单,毋庸置疑,php中有str_replace与preg_replace等强大替换函数! 语法:replace(onj...
thinkphp5 参数绑定用法
gzxiaomei的博客
10-03 538
方法参数绑定是把URL地址(或者路由地址)中的变量作为操作方法的参数直接传入 操作方法参数绑定 按名称绑定 参数绑定方式默认是按照变量名进行绑定,例如,我们给Blog控制器定义了两个操作方法read和archive方法,由于read操作需要指定一个id参数,archive方法需要指定年份(year)和月份(month)两个参数,那么我们可以如下定义: namespace app\index\Controller; class Blog { public function read($id) ...
mysql替换函数REPLACE()用法
Mr.Xie的博客
08-08 1万+
当我们所查出来的手机号需要隐藏中间的数字时可用到这个函数 语句如下: SELECT REPLACE(phone, SUBSTR(phone,4,4), 'XXXX') AS phone FROM smart_platform_db.users 新开通一个个人微信公众号,感兴趣的朋友可以扫描点击关注下哦,在接下的工作中的所感所想、优质资源也会在公众号内更新,希望我们可以一起交流共同...
php 模板替换,ThinkPHP 模板特殊字符串替换
weixin_34869021的博客
03-10 483
模板特殊字符串替换ThinkPHP 系统定义了一些特殊的字符串(常量)以方便在模板中的使用,这些特殊字符串给模板的应用带来了极大的便利。这些特殊的字符串是在进行模板输出之前有系统自动替换的,默认的模板特殊字符串如下:../Public:当前项目的公共模板目录,通常是 /项目目录/Tpl/default/Public/__PUBLIC__:当前网站的公共目录,通常是 /Public/__TMPL__...
ThinkPHP3.1 模板变量输出与图像目标检测技术
"ThinkPHP3.1完全开发手册,讲解了变量输出和图像目标检测技术在实际应用中的使用。" 在ThinkPHP3.1框架中,变量输出是模板引擎中的一个基础功能,它允许开发者在Action层给模板变量赋值,并在模板文件中进行显示。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值