php sql %s,php sprintf()函数让你的sql操作更安全

最新推荐文章于 2021-04-12 01:20:35 发布
最新推荐文章于 2021-04-12 01:20:35 发布
阅读量131 收藏
点赞数
文章标签: php sql %s

$bookSQL=sprintf("UPDATEbookSETpass=%sWHEREid=%d",

GetSQLValueString($_POST['list'],"text"),

GetSQLValueString($_GET['id'],"int"));

GetSQLValueString这个函数,可以换成别的函数

但在sql语句这里用上sprintf()这个函数的话!就相对安全多了,比如id那里我们可以用上%d

或是有很多sql操作的时候,用上这个

$Result=$db->query($bookSQL)ordie(mysql_error());

下面加上sprintf这个函数的说明:

引用

sprintf

将字符串格式化。

语法:stringsprintf(stringformat,mixed[args]...);

返回值:字符串

函数种类:资料处理

内容说明

本函数用来将字符串格式化。参数format是转换的格式,以百分比符号%开始到转换字符为止。而在转换的格式间依序包括了

填空字符。0的话表示空格填0;空格是默认值,表示空格就放着。

对齐方式。默认值为向右对齐,负号表向左对齐。

字段宽度。为最小宽度。

精确度。指在小数点后的浮点数位数。

类型,见下表%印出百分比符号,不转换。

b整数转成二进位。

c整数转成对应的ASCII字符。

d整数转成十进位。

f倍精确度数字转成浮点数。

o整数转成八进位。

s整数转成字符串。

x整数转成小写十六进位。

X整数转成大写十六进位。

Chrix Bell
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php使用sprintf拼接sql
CodeTown
03-18 1623
一.封装常用增删查改操作方法 <?php class BaseDAO{ //创建数据 public function create($table_name,$model){ $columns_k=''; $columns_v=''; foreach($model as $key=>$value){ $columns_k=empty($columns_k)? spr
php sprintf()函数让你的sql操作安全
01-20
$bookSQL=sprintf(“UPDATE book SET pass=%s WHERE id=%d”, GetSQLValueString($_POST[‘list’], “text”), ...就相对安全多了,比如id那里我们可以用上%d 或是有很多sql操作的时候,用上这个 $
PHP函数:sprintf 拼接sql语句
wuye_lh的博客
01-14 487
sprintfphp中是一个函数,最近发现这个函数其实挺好用的,比如在拼接sql语句上 简单常用的有%u ,和%s,其中%u 是自然整数 ,包括0,1,2... 例如有一条 select * from users where user_id in (1,2,3,6,7); 而我们接受到的参数是一个 数组 [1,2,3,6,7]; 我们可以这样写sql <?php $userIds =[1,2,3,6,7]; $sql = sprintf("select * fro...
php mysql语句中有%_php中的sql语句
weixin_29898529的博客
01-28 170
展开全部1、很多时候我们在开发时需要将字符串与变量连接起来显示,在PHP中,字符串之间使用 “点” 来连接,也就是英文中的32313133353236313431303231363533e58685e5aeb931333365656561半角句号" . " , " . " 是字符串连接符,可以把两个或两个以上的字符串链接成一个字符串。例如:...
php sql 字符,php – 以字符串形式打印的SQL字段
weixin_39617473的博客
03-12 89
我有一个搜索表单来获取一些记录.表单的限制字段之一是record,是一个下拉框,如下所示:Highest ScoreMost runs然后当他们搜索以下代码时:if (isset($_GET['action']) and $_GET['action'] == 'search'){include $_SERVER['DOCUMENT_ROOT'] . '/stats/includes/db.inc....
php  sql打印:
qq_38819366的博客
07-17 156
php sql打印: $data = M('news')->field("title,date_format(postdate,'%Y-%m-%d') as postdate,content")->where($map)->limit(1)->find(); 一: $model = M('news'); var_dump( M('news')->_sql()); 二: $resultsql= $model-> getLastSql(); ...
PHPSQL查询语句的id=%d解释(推荐)
10-20
PHP中,你可以使用`printf`或`sprintf`函数来填充这样的占位符。例如,如果你有一个变量`$id`包含一个整数值,你可以这样构建查询: ```php $id = 123; // 假设这是你要查找的id $sql = "SELECT * FROM table_...
PHP sprintf()函数用例解析
12-18
使用 `sprintf()` 可以避免 SQL 注入问题,因为它允许你安全地将变量插入到字符串中,而不会导致意外的字符串拼接。 例如,如果你需要生成一个包含ID的SQL查询,可以这样使用 `sprintf()`: ```php $id = 123; $...
PHP获取MySQL执行sql语句的查询时间方法
12-20
综上所述,通过自定义计时函数、数据库操作类的修改以及利用MySQL的Profiler,我们可以有效地获取并分析SQL查询的执行时间,以便优化数据库性能。在开发过程中,监控查询时间是确保系统响应速度和效率的关键步骤。
php运算符百分号,T-SQL 转义select … like中的特殊字符(百分号)
weixin_35545176的博客
04-12 486
众所周知,T-SQL中LIKE运算符使用%符号表示通配符。很多时候可能需要查询包含有%的数据,比如需要查询字段coupon中含有5%的数据。那么如何使用已经有百分号(%)符号的LIKE搜索字符串呢?从MSDN中可以找到,Like 中的通配符包含有:通配符Description示例%包含零个或多个字符的任意字符串。WHERE title LIKE '%computer%' 将查找在书名中任意位置包含...
php+mysql代码生成器下载
09-04
做的内容就是剩掉你写sql语句的时间 有显示,插入,修改,删除,还有显示的表格和添加修改的表单! 下载后把MakeCode.exe.config里的用名和密码改成你本地的!就可以简单的生成! 里面用到的mysql类,还有sql语句中的函数,都在其它代码中 if($_POST['id']==''){ //INSEART $InsertSQL = sprintf("INSEART INTO cuku_faqcat (`catname`,`list`,`cont`) VALUES (%s ,%s ,%s )", GetSQLValueString($_POST['catname'],"text"), GetSQLValueString($_POST['list'],"int"), GetSQLValueString($_POST['cont'],"text")); $db->query($InsertSQL); }else{ //UPDATE $UpdateSQL = sprintf("UPDATE cuku_faqcat SET `catname`= %s, `list`= %s, `cont`= %s where `id`= %s)", GetSQLValueString($_POST['catname'] ,"text"), GetSQLValueString($_POST['list'] ,"int"), GetSQLValueString($_POST['cont'] ,"text"), GetSQLValueString($_POST['id'],"int")); $db->query($UpdateSQL); } //生成时用到的函数 function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") { $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); switch ($theType) { case "text": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; break; case "long": case "int": $theValue = ($theValue != "") ? intval($theValue) : "NULL"; break; case "double": $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; break; case "date": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "now()"; break; case "defined": $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; break; case "sqltable": $theValue = ($theValue != "") ? $theValue : die("NULL Table"); break; } return $theValue; } //引入数据库类 include"./mysql.php"; //声明数据库 $db = new Dirver(); 加上数据库类的写法!
php where 后 函数,PHP – GetSQLValueString函数
weixin_33187773的博客
03-12 493
标签:php我看到一个函数Ge​​tSQLValueString,我不知道它处理的是什么,有人可以给我一些想法吗?谢谢function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = ""){$theValue = get_magic_quotes_gpc() ? stripsl...
mysql sprintf函数_php sprintf()函数让你的sql操作安全
weixin_36381298的博客
01-19 198
$bookSQL=sprintf("UPDATEbookSETpass=%sWHEREid=%d",GetSQLValueString($_POST['list'],"text"),GetSQLValueString($_GET['id'],"int"));GetSQLValueString这个函数,可以换成别的函数但在sql语句这里用上sprintf()这个函数的话!就相对安全多了...
PHP中,%s与%d是什么意思
123456
05-16 8821
PHP sprintf() 函数用到的参数 printf — 输出格式化字符串 sprintf() 函数把格式化的字符串写入一个变量中。%% - 返回百分比符号%b - 二进制数%c - 依照 ASCII 值的字符%d - 带符号十进制数%e - 可续计数法(比如 1.5e+3)%u - 无符号十进制数%f - 浮点数(local settings aware)%F - 浮点数(not loc...
PHP 使用sprintf 拼接 sql语句
LONG
09-06 1849
[php] view plain copy print? class BaseDAO{        //创建数据      public function create($table_name,$model){          $columns_k='';          $columns_v='';          foreach($model as $key=>$
php字符串转换mysql,在PHP字符串转换到MySQL时间戳格式
weixin_39633252的博客
01-28 56
I am writing a query in php using a string sent from a android java application.The query is something like :$insertSQL = sprintf("INSERT INTO app_DuckTag (taste) VALUES (%s) WHERE species=%s AND time...
php mysql 插入当前时间_怎样用php往mysql中添加当前时间和日期?
weixin_36040777的博客
01-19 427
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = ""){$theValue = (!get_magic_quotes_gpc()) ? addslashes($theValue) : $theValue;switch ($theType) {case "text...
c mysql代码生成器,php+mysql代码生成器
weixin_29264201的博客
03-12 139
php+mysql代码生成器做的内容就是剩掉你写sql语句的时间有显示,插入,修改,删除,还有显示的表格和添加修改的表单!下载后把MakeCode.exe.config里的用名和密码改成你本地的!就可以简单的生成!里面用到的mysql类,还有sql语句中的函数,都在其它代码中if($_POST['id']==''){//INSEART$InsertSQL = sprintf("INSEART IN...
sql sprintf函数
最新发布
04-14
SQL中没有sprintf函数,但是可以使用CONCAT函数来实现似的功能。CONCAT函数用于将多个字符串连接在一起。 例如,如果你想要将两个字符串连接在一起,可以使用以下语法: ``` SELECT CONCAT('Hello', 'World'); ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值