bindParam中的POST变量

Is it safe or not to use a POST var as below:

$stmt->bindParam(':'.$_POST[$field],$val);

or I need to check POST vars before?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douxiuyu2028 2014-09-21 14:49
关注
You should use $_POST variables as the value, not the parameter name.

The $_POST variable could contain spaces or other characters that are not valid parts of a parameter name. I'm concerned that if you are doing what you show, that you have formed an SQL query like this:

$sql = "SELECT * FROM mytable WHERE mycolumn = :" . $_POST[$field];

Which is definitely not safe.

And there's no reason for the parameter names to be set to user input like that. Parameter names should be fixed by you, the programmer:

$sql = "SELECT * FROM mytable WHERE mycolumn = :myparam";

Then you bind using the same name. By the way, as long as you're using a reasonably recent version of PHP, you don't need the colon prefix in the bind call. You only need it in the SQL.

$stmt->bindParam("myparam", $_POST[$field]);
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

bindParam中的POST变量 php
2014-09-21 14:34

回答 1 已采纳 You should use $_POST variables as the value, not the parameter name. The $_POST variable could c
SQLite查询中的PHP变量 php sql sqlite
2013-07-24 13:29

回答 5 已采纳 It seems you were about to use the right way but for some reason gave up Here you go: $result =
使用pdo php执行过程后，bindparam变量的值为零 php
2016-10-15 09:45

回答 1 已采纳 This is what I've done to make it work, Hope this helps someone. Note: Procedure defined in MSSQL
mysql怎么使用php变量的值_php pdo只从mysql中获取一个值;等于变量的值
2021-02-08 08:59

萌萌的微微哟的博客我已定义变量$row_id1(例如$row_id1 = 1;)在mysql中是名为Number的列.想要选择列号,如果列中存在$row_id,则想要获取(获取,定义)该值.实际上想要检查列号中是否存在$row_id值.代码有什么问题？$stmt = $db->...
PHP：无法回显DB中的变量 ajax php
2015-08-06 12:20

回答 1 已采纳 After long time I checked my code,I understand the problem:) As you see I'm using PDO::quote() an
php pdo用变量更新查询 mysql php
2016-05-17 07:35

回答 2 已采纳 Just replace this line $stmt->bindParam(':mobile_number', $mobile_number, PDO::PARAM_INT); w
PHP：未定义的变量＆在非对象上调用成员函数bindParam（） php
2015-03-07 04:12

回答 1 已采纳 You have typing error in the variable name. You have: $stml =$conn->prepare ... But it shou
php中的￥row,PHP PDO函数库详解
2021-04-21 15:36

weixin_39984963的博客 PDO是一个“数据库接见抽象层”，感化是同一各类数据库的接见接口，与mysql和mysqli的函数库比拟，PDO让跨数据库的...PDO中包含三个预定义的类PDO中包含三个预定义的类，它们分别是 PDO、PDOStatement 和 PDOExcep...
只有变量应该通过引用传递 - 当使用LIMIT和bindParam时 mysql php sql
2018-06-19 09:14

回答 2 已采纳 You need to change: $sql->bindParam("contact_number", intval($args["contact_number"]), PDO::PA
获取错误严格标准：只应在第20行的register.php中通过引用传递变量 database php
2018-06-16 15:44

回答 1 已采纳 When passing a value to bind_param(), you need to pass a variable and not the return value from a
php数组到pdo变量 php sql
2014-04-03 16:37

回答 1 已采纳 public function insert($table, $columns, $values) { // make sure we have the same amount of ke
PHP学习线路图
2018-09-19 19:33

hixiaoyang的博客 PHP变量类型 PHP常量类型 PHP运算符类型 PHP 条件语句 PHP循环语句 PHP数组 PHP字符串操作 PHP Web概念 PHP的GET和POST方法 PHP 文件包含 PHP文件和I _ O PHP函数 PHP Cookies PHP会话 ...
如何在foreach循环中解密变量？ php
2016-09-22 09:00

回答 2 已采纳 As stated in the comments you cannot decrypt a hash. For that you need to use an encryption algori
PHP中MySQL注入防御代码,mysql注入在PHP代码层面的防御手段
2021-05-07 02:19

weixin_39932344的博客服务端没有对用户提交的参数进行严格的过滤，导致可以将SQL语句插入到可控参数中，改变原有的SQL语义结构，从而执行攻击者所预期的结果。sql注入的探测判断数据库类型端口报错信息一些中间件常用的数据库PHP ...
解析php中$_REQUEST的用法
2017-10-18 15:26

a1375568288的博客在php手册中，这个变量解释为："默认情况下包含了 $_GET，$_POST 和 $_COOKIE 的数组。" 注意其中包含cookie的内容，做个测试： 1 2 $_COOKIE['name'] = "aaa"; 3 print_r($_...
PHP复习资料
2023-05-23 18:22

okfang616的博客（未完待续，请持续关注此板块）【计科一二】PHP第一章练习题【计科一二】PHP第二章练习题【计科一二】PHP第三章练习题【计科一二】PHP第四章练习题【计科一二】PHP第五章练习题暂无【计科一二】PHP第六章练习题暂...
网络安全-php安全知识点
2020-10-09 17:26

lady_killer9的博客变量输出超级全局常量函数常用数据库相关 mysqli pdo 写给和我一样没学过php的安全小白，只是为了让你看懂php代码，专门学后端的请出门左转。学安全需要学的东西太多，你不可能把js学的和做前端的同学...
用PHP写一个学生学籍管理系统
2023-03-22 00:04

需要什么私信我的博客 } 用户登录和权限控制 // 登录 if ($_SERVER['REQUEST_METHOD'] == 'POST' && isset($_POST['username']) && isset($_POST['password'])) { $username = $_POST['username']; $password = $_POST['password']; // ...
PHP入门到入土
2024-01-02 00:32

彩虹海！的博客 > 命名空间 PHP 命名空间(namespace)是在 PHP 5.3 中加入的，目的是解决重名问题，PHP中不允许两个函数或者类出现相同的名字，否则会产生一个致命的错误。将全局的非命名空间中的代码与命名空间中的代码组合在一起...
PHP低版本安全问题
2023-11-17 21:05

信安成长日记的博客在 php4.2.0 后默认为 off，如果为 on，需要为每个变量初始化，get，post，cookie等变量直接被注册为全局变量，比如表单的username，程序中使用 $username 就能获取到值，不需 $_POST 来获取值。
没有解决我的问题, 去提问

悬赏问题

¥15 使用EMD去噪处理RML2016数据集时候的原理
¥15 神经网络预测均方误差很小但是图像上看着差别太大
¥15 Oracle中如何从clob类型截取特定字符串后面的字符
¥15 想通过pywinauto自动电机应用程序按钮，但是找不到应用程序按钮信息
¥15 如何在炒股软件中，爬到我想看的日k线
¥15 seatunnel 怎么配置Elasticsearch
¥15 PSCAD安装问题 ERROR: Visual Studio 2013, 2015, 2017 or 2019 is not found in the system.
¥15 (标签-MATLAB|关键词-多址)
¥15 关于#MATLAB#的问题，如何解决？（相关搜索：信噪比，系统容量）
¥500 52810做蓝牙接受端

bindParam中的POST变量

1条回答 默认 最新

悬赏问题

1条回答默认最新