php mysqli参数化查询,PHP MySQLi参数化查询不起作用

最新推荐文章于 2024-03-26 10:43:23 发布
最新推荐文章于 2024-03-26 10:43:23 发布
阅读量306 收藏 1
点赞数
文章标签: php mysqli参数化查询

我正在将当前未受保护的查询更新为参数化查询,以防止受到SQL注入.

我花了几个小时试图对这个问题进行排序,但是找不到问题,非常感谢任何帮助.

在(echo $row [‘storeID’];)之前工作

$storeName = mysqli_real_escape_string($conn,$_GET['store']);

$query = "SELECT * FROM stores WHERE storeName = '$storeName'";

$results = mysqli_query($conn, $query);

$row = mysqli_fetch_assoc($results);

$storeName = $_GET['store'];

$stmt = mysqli_prepare($conn, "SELECT * FROM stores WHERE storeName = ?");

mysqli_stmt_bind_param($stmt, "s", $storeName);

mysqli_stmt_execute($stmt);

$row = mysqli_stmt_fetch($stmt);

该回显应该起作用,但是使用语句却不起作用

echo $row['storeID'];

解决方法:

如果查看mysqli_stmt_fetch的文档,则会看到以下说明:

Fetch results from a prepared statement into the bound variables

$storeName = $_GET['store'];

$stmt = mysqli_prepare($conn, "SELECT * FROM stores WHERE storeName = ?");

mysqli_stmt_bind_param($stmt, "s", $storeName);

mysqli_stmt_execute($stmt);

mysqli_stmt_bind_result($stmt, $col1, $col2, $col3,...);

while (mysqli_stmt_fetch($stmt)) {

// do stuff with $col1, $col2, etc.

}

现在,在循环的每次迭代中,为绑定的结果变量提供结果集中的值.

但是,我强烈建议您改用PDO,这要冗长得多:

$storeName = $_GET['store'];

$stmt = $db->prepare("SELECT * FROM stores WHERE storeName = ?");

$stmt->execute([$storeName]);

$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

// now you have a simple array with all your results

foreach ($rows as $row) {

// do stuff with $row

}

标签:mysqli,mysql,php

来源: https://codeday.me/bug/20191108/2007268.html

weixin_39932300
关注
mysql 参数化_安全 -- mysql参数化查询,防止Mysql注入
weixin_39828847的博客
01-18 678
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击(SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不...
php+mysqli批量查询多张表数据的方法
10-24
虽然使用mysqli扩展时可以通过预处理语句和参数化查询来提高安全性,但在使用`multi_query`时,需要确保查询语句是安全的,避免拼接恶意SQL语句。此外,在多用户环境下,对多张表的批量操作可能会影响数据库性能,...
PHP - 各种扩展「底层扩展,上层扩展,自带扩展」
"代码"的日常搬运
03-20 3859
了解PHP扩展, 学以致用, 帮助理解PHP语言的本质, 以及如何开发出更加高效程序.
php mysql 参数化_PHP MySQLi参数化查询不起作用
weixin_42405503的博客
01-28 141
如果查看mysqli_stmt_fetch的文档,则会看到以下说明:Fetch results from a prepared statement into the bound variables$storeName = $_GET['store'];$stmt = mysqli_prepare($conn, "SELECT * FROM stores WHERE storeName = ?");...
php mysql 参数化 查询,mysql sql php 参数化查询
weixin_31031155的博客
03-10 745
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常...
php 下进行mysql参数化查询
Dexter's Laboratory
02-24 2413
记录一下,php下的mysql参数化查询 [php] view plain $query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",                      mysql_real_escape_string($Username),
php mysql参数化查询,使用MySQL连接的PHP中的参数化查询
weixin_29434351的博客
01-25 215
I've read about SQL injection so I tried it with my site and of course it worked.. I know that the solution is parameterized queries and I also know that there are a lot of examples out there but none...
php+mysqli使用面向对象方式查询数据库实例
12-18
通过实例化MySQLi类来创建连接对象,如下所示: ```php $mysqli = new MySQLi("localhost","root","123456"); ``` 这里的参数依次是服务器地址、用户名和密码。如果连接失败,`connect_error` 属性将返回错误信息...
PHP使用mysqli同时执行多条sql查询语句的实例
10-17
PHP开发中,数据库的操作是不可或缺的一个环节,而mysqliPHP中用于操作MySQL数据库的一个扩展。...当然,在实际开发中,也要注意SQL注入等安全问题,合理使用预处理语句和参数化查询,保证应用程序的安全性。
php操作mysqli(示例代码)
10-26
首先,类mysqliHelp的构造函数中包含了对数据库连接的初始化代码,如果已经存在一个mysqli实例并且没有强制重新连接的需要,则不进行新的连接操作。当需要进行数据库连接时,构造函数会创建一个新的mysqli对象,并...
PHPmysqli方式连接类完整代码实例
10-25
MySQLiPHP 中用于连接 MySQL 数据库的一个扩展模块,它提供了一系列面向对象和过程化的 API 来执行 SQL 语句和处理结果。与早先的 MySQL 扩展相比,MySQLi 支持 MySQL 数据库的更多新特性,如面向对象接口、...
PHP中使用参数化查询
追逐
08-26 6719
PHP 中提供了三种访问 MySQL 数据库的扩展,即 mysql,mysqli 和 PDO。它们的区别可以比较如下: 扩展 mysql mysqli PDO PHP 版本 2.0+ 5.0+ 5.1+ 生命周期 废弃 活跃 活跃 面向对象语法 否 是 是 过程式语法 是 是 否 服务器端预处理语句 否
MySQL如何使用参数化查询
最新发布
长风破浪会有时的博客
03-26 1197
参数化查询是一种编写数据库查询的方法,它可以帮助我们更安全地获取数据。就像是我们用一个特殊的盒子(参数)来装我们要查询的信息,然后把这个盒子交给数据库去查找。这样,数据库就只知道盒子里的内容,而不知道其他任何可能有害的信息。
php mysqli 绑定变量,phpMysqli参数绑定问题
weixin_42113794的博客
03-28 170
我需要额外的一双眼睛.任何帮助将不胜感激.这是一个非常简单的搜索查询,但无论出于何种原因,我找不到该错误.好吧,我知道bug在哪里.我只是无法超越它.无论如何…..我从POST变量中获取搜索值,设置该变量,然后按如下方式设置列变量…$term = "'%".$_POST['searchTerm']."%'";$field = "columnName";当我回应这些时,它们会完美地出现.因此,如果我...
mysql sql php 参数化查询
jielione的专栏
11-27 6559
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。 有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份
mysql 表名 参数化_我可以在准备好的语句中参数化表名吗?
weixin_33491377的博客
02-05 379
我可以在准备好的语句中参数化表名吗?我多次使用mysqli_stmt_bind_param函数。但是,如果我将试图防止SQL注入的变量分开,则会遇到错误。下面是一些代码示例:functioninsertRow($db,$mysqli,$new_table,$Partner,$Merchant,$ips,$score,$category,$overall,$protocol)...
mysqli连接mysql数据库,利用预处理进行数据操作
Zhouxnli 的博客
03-13 1352
mysqli是啥 mysqli(mysql improvement)是mysql的扩展增强版,它使用的是面向对象的语法形式,也支持面向过程的写法。并且较mysql而言,mysql每次链接都会打开一个连接的进程,但是mysqli多次运行会使用同一连接进程,从而减少了服务器的开销
php 参数化查询 sql,php通过参数化查询防止sql注入的简单示例
weixin_35690449的博客
03-10 622
这篇文章主要为大家详细介绍了php通过参数化查询防止sql注入的简单示例,具有一定的参考价值,可以用来参考一下。对php中通过参数化查询防止sql注入感兴趣的小伙伴,下面一起跟随512笔记的小编两巴掌来看看吧!php中通过参数化查询防止sql注入,有两种方法,一是通过pdo,一是通过mysqli使用 PDO:/*** php中通过参数化查询防止sql注入** @param* @arrange 51...
PHP笔记-连接MySQL数据库及查询数据
IT1995的博客
01-03 4376
程序运行截图: 数据库内容: 要配置。我这是Windows的机器,修改php.ini 将此处放开即可。 程序结构: list.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>列表</title> </head> <body> <table borde
PHP mysqli连接与操作示例代码
- `fetch_array()`方法接收一个mysqli_result类型的参数(通常来自之前执行的SQL查询),并根据传递的$resulttype参数返回行数据。这个方法支持三种模式:MYSQLI_ASSOC(关联数组)、MYSQLI_NUM(数字索引数组)或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值