【thinkphp3.x】thinkphp3.x中查询条件的预处理功能

最新推荐文章于 2022-04-01 11:05:05 发布
最新推荐文章于 2022-04-01 11:05:05 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: 【thinkphp3深入研究】 文章标签: query user sql url 
一、预处理功能的演示:

<?php
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
?>

或者直接使用:

<?php
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
?>

如果$id变量来自用户提交或者URL地址的话,如果传入的是非数字类型,则会强制格式化为数字格式后进行查询操作。
字符串预处理格式类型支持指定数字、字符串等,具体可以参考vsprintf方法的参数说明。

二、使用query和execute方法

除了where条件外,对原生SQL查询方式也支持预处理机制,例如: 
1.$Model->query("SELECT * FROM think_user WHERE id=%d and username='%s' and xx='%f'",array($id,$username,$xx));
模型的execute方法也和query方法一样支持预处理机制。

yanhui_wei
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp5.0.9预处理导致的sql注入复现与详细分析
HBohan的博客
12-11 1026
复现 先搭建thinkphp5.0.9环境 配置下测试环境 然后访问 http://tptest.cc/index.php/index/index/getage?names[0,updatexml(0,concat(0xa,user()),0)]=1 复现成功 【点击获取学习资料】 渗透工具 技术文档、书籍 最新大厂面试题目及答案 视频教程 应急响应笔记 学习思路构图等等 漏洞分析 先看看传进来了什么 是一个关联数组 跟进where 跟进parseWhereExp
Thinkphp 预处理机制
YuYan_wang
10-25 1168
3.1以上版本,使用字符串条件的时候,建议配合预处理机制,确保更加安全,例如: $Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select(); 或者使用: $Model->where("id=%d and username='%s' and x...
thinkphp 预处理机制
PHP/Python学习
03-14 1162
where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如: $Model->where("id=%d and username='%s' andxx='%f'",array($id,$username,$xx))->select(); 复制代码 或者 $Model->where("id=%d and username='%s' andxx='%
ThinkPHP3.1新特性之查询条件预处理简介
10-25
相比于ThinkPHP3.0版本对数组方式的查询条件会进行安全过滤而不支持字符串条件的安全过滤的情况,ThinkPHP3.1版本则增加了对条件字符串进行预处理的支持,让ORM的安全性更加得以保证。这篇文章主要介绍了ThinkPHP3.1的查询条件预处理,需要的朋友可以参考下
thinkphp mysql 预处理_ThinkPHP5.0对数据库操作的一些基础方法整理
weixin_32075603的博客
01-30 589
一、查询数据操作如下:db('user')->where('id',1)->find();//查询一条数据db('user')->where('status',1)->select();//查询多条数据二、添加数据操作如下:// 添加单条数据$data = ['foo' => 'bar', 'bar' => 'foo'];db('user')->inser...
thinkphp查询,3.X 5.0方法(亲试可行)
10-19
总结,ThinkPHP查询功能强大且灵活,无论是3.x还是5.0版本,其查询语言都能为开发者提供一致的体验。通过掌握数组和表达式查询,开发者可以轻松地进行各种复杂的数据操作。同时,确保查询的安全性是每个开发者的...
ThinkPHP3.1查询语言详解
10-25
这篇详解将深入剖析ThinkPHP3.1查询语言,帮助开发者更好地理解和运用。 一、查询语言介绍 ThinkPHP3.1的查询语言旨在提供一种统一且易于理解的查询方式,无论使用何种数据库,如MySQL、Oracle或MongoDB等,...
thinkphp实现图片上传功能
10-22
总的来说,ThinkPHP提供的文件上传功能简化了开发者的工作,使得在PHP项目实现图片上传变得更加便捷。通过上述步骤,我们可以创建一个基本的图片上传功能,但在实际应用,可能还需要根据具体需求进行调整和扩展...
基于thinkPHP类的插入数据库操作功能示例
10-20
此外,代码提到的`_tigger_post()`方法是用于在数据创建前处理POST数据的,这可以用来额外的数据预处理或验证。 总的来说,这个示例展示了如何在ThinkPHP通过类进行数据库插入操作,包括模型实例化、数据验证...
Tp5.0查询返回对象数据,修改数据结构,查询预处理
hzhairuntao的博客
04-01 1655
$data['order'] = db('web_order')->where($where)->paginate(10,false, ['page' => $page,'query'=>request()->param()])->each(function($users,$key){ if($users['order_gtype']!=1){ $list = json_decode($users['order_model'],true); ..
注入预防 预编译_Sql预编译与模拟预编译研究
weixin_39828338的博客
12-21 287
更多全球网络安全资讯尽在邑安全www.eansec.com写在前面众所周知,预编译是解决sql注入的一个很好的方案,但是预编译在现实使用却有着很多有趣的细节需要研究下。在没有经过实验之前,针对如下问题我也比较模糊,例如:1、Mysql预编译和模拟预编译有什么不同?哪种方式理论上更加安全呢?2、PHP链接数据库Mysqli接口与PDO接口默认采用哪种方式进行预编译?3、PythonM...
thinkphp 3.2预防sql注入、对查询sql过滤
tingliting的专栏
01-04 6693
thinkphp 3.2预防sql注入、对查询sql过滤         对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:             $User = M("User"); // 实例化User对象             $User->find($_GET["id"]);     
ThinkPHP笔记:where查询条件预处理过滤的占位符含义
成长笔记
12-06 3198
%s -- 表示字段串 %d -- 表示整形数字 %f -- 表示浮点数
TP框架隐藏的预处理函数,前置钩子
...
07-29 3825
tp框架,隐藏着这样一个函数,叫前置钩子。在比较低版本的手册上,很少提及这种类型的函数。但在其源码,可以找到这样的函数,位置是在ThinkPHP\Library\Think目录Model.class.php 类 ,其的一个修改或是添加函数add  ,找到其最后的代码可以看到如下的代码设计: 同样,其他的方法,也有类似的函数,比如,前置钩子(_be
thinkphp3.2.3使用原生sql语句查询
你酒不掩心的博客
12-19 4098
1 查询使用query()方法 $sql = "select * from tablename"; $res = M()-&gt;query($sql) 得到结果集然后在页面上显示即可 2 更新 删除 插入 使用execute()方法 $sql = " ................"; $res = M()-&gt;execute($sql) 得到返回值即可...
PHP小程序--字符串截取,支持文和其他编码
VitaleWang的博客
09-12 771
字符串截取,支持文和其他编码
php预处理语言,ThinkPHP3.1新特性之查询条件预处理简介
weixin_42609225的博客
04-01 137
以往的ThinkPHP3.0版本对数组方式的查询条件会进行安全过滤(这是由于3.0强制使用了字段类型检测,所以数组方式的查询条件会强制转换为字段的设定类型),但是3.0版本并不支持字符串条件的安全过滤。而ThinkPHP3.1版本则增加了对条件字符串进行预处理的支持,让ORM的安全性更加得以保证。一、使用where方法Model类的where方法支持字符串条件预处理,使用方式:$Model-&gt...
tp3,thinkphp3.2怎么使用数组的方式来模糊查询数据库
廖圣平
10-30 3663
用$map 当查询条件直接用扎where查询语句 $map['nickname'] = array("LIKE", '%' . $nickname . '%');
thinkphp3.2.x rce
最新发布
12-18
这个漏洞的原因是在ThinkPHP 3.2.x版本的核心代码没有对用户的输入进行充分的过滤和校验。攻击者可以利用这个漏洞来执行各种恶意操作,比如上传恶意文件、修改数据库内容或者获取系统敏感信息等。 为了利用这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值