PHP参数化SQL

PHP中写SQL，不使用PDO的话，如何不拼接SQL，从而避免注入攻击？

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

4条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
weixin_42298206 2009-07-09 22:34
关注
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);

or

$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(3条)

报告相同问题？

关注问题

PHP参数化SQL php
2009-07-09 11:20

回答 4 已采纳 $query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'", my
使用PHP进行参数化更新SQL查询 php sql
2013-04-17 17:58

回答 1 已采纳 $stmt->execute(); $stmt->fetch(); Do not forget the () to show that's a method call else P
SQL注入中的“参数化查询/预处理语句”如何比转义用户输入更好 mysql php sql
2017-12-05 04:51

回答 1 已采纳 Q: Can you give an example that parameterized query prevent the SQL injection attack when a user
php防止sql注入的方法
2022-02-24 20:01

zhoupenghui168的博客在某些表单中，用户输入的内容直接用来构造(或者影响)动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如： ⑴ 某个php Web应用有一个登录页面，这个登录...
php - 如何使用多个WHERE条件（预准备语句）参数化SQL查询？ php sql
2015-09-30 16:43

回答 1 已采纳 I have solved my problem using PDO which has named parameters. So here is my solution, hope it hel
Laravel Eloquent：SQL注入预防是自动完成的吗？ laravel php sql
2018-07-01 19:01

回答 1 已采纳 Yes, but... Yes, it does SQL injection prevention when you rely on the built-in ORM functionality
在动态按钮上调用参数化函数在php中单击 ajax javascript jquery php
2016-09-09 05:57

回答 1 已采纳 First of all, dont combine in your mind JS code and PHP code into one. Please set in your mind t
php中的sql防注入
2023-03-17 10:03

羽辰不是逗比的博客 addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如，使用 %、_、- 等字符可以进行模糊查询，而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义，再使用 addslashes 函数可能会...
在sql中多次使用相同的预处理语句参数 php sql
2012-11-27 14:08

回答 1 已采纳 It's not possible to reuse parameters like that. You'll have to make unique parameters: $stmt = $
在Class中缺少参数 php sql
2012-11-26 10:22

回答 5 已采纳 Your constructor accepts 6 arguments, whereas you are passing just one here: $character = new Cha
无法在php中反序列化字符串 php
2012-02-01 09:32

回答 1 已采纳 I expect you just use serialize() and unserialize(). When i run it I receive Error at offset 169
PHP代码审计4—Sql注入漏洞
2022-07-18 09:07

W0ngk的博客 SQL注入代码审计入门
如何在pg_prepare（）pg_execute（）中使用参数化ORDER BY？ php postgresql sql
2015-01-12 19:05

回答 1 已采纳 ORDER BY $2 is sorting a fix value, something like this: SELECT * FROM t1 ORDER BY 'some string';
怎么用PHP写登录页面并连接sql数据库
2021-10-28 08:00

1ta-chi的博客 sql 指结构化查询语言，使我们有能力访问数据库，那么后端访问数据库的原理就是在php变量中构建sql语言，使其在数据库中执行，就达到了我们访问数据库以及一系列操作的目的。数据库的结构是库、表、字段、数据，...
SQLBuilder：一个功能强大，快速，跨平台PHP SQL Builder。通过流利的样式界面将结构化数据转换为SQL查询，并以所有主流数据库（MySQL，PostgreSQL，SQLite）为目标
2021-02-04 11:38

SQLBuilder不是ORM（对象关系映射）系统，而是一个可帮助您在PHP中生成跨平台SQL查询的工具集。 SQLBuilder是一个独立的库，您可以通过composer进行简单安装，也可以通过自动加载器仅要求它们（类文件），并且没有...
没有解决我的问题, 去提问

悬赏问题

¥15 关于#matlab#的问题：期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707，使系统具有较小的超调量
¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
¥30 截图中的mathematics程序转换成matlab
¥15 动力学代码报错，维度不匹配
¥15 Power query添加列问题
¥50 Kubernetes&Fission&Eleasticsearch
¥15 報錯：Person is not mapped，如何解決？
¥15 c++头文件不能识别CDialog
¥15 Excel发现不可读取的内容
¥15 关于#stm32#的问题：CANOpen的PDO同步传输问题

PHP参数化SQL

4条回答 默认 最新

悬赏问题

4条回答默认最新