PHP参数化SQL

PHP中写SQL，不使用PDO的话，如何不拼接SQL，从而避免注入攻击？

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

4条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
weixin_42298206 2009-07-09 22:34
关注
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);

or

$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(3条)

报告相同问题？

关注问题

PHP参数化SQL php
2009-07-09 11:20

回答 4 已采纳 $query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'", my
使用PHP进行参数化更新SQL查询 php sql
2013-04-17 17:58

回答 1 已采纳 $stmt->execute(); $stmt->fetch(); Do not forget the () to show that's a method call else P
SQL注入中的“参数化查询/预处理语句”如何比转义用户输入更好 mysql php sql
2017-12-05 04:51

回答 1 已采纳 Q: Can you give an example that parameterized query prevent the SQL injection attack when a user
sql格式化工具集合
2021-01-19 22:15

php-SQL-Format ，这个在我本地出了点小问题，复杂SQL格式化不了，我和作者沟通，他说有可能是SQLParser的问题，没有深究，我又观察了下，我觉得是过程中传递参数的问题，复杂的SQL语句，返回的是pma中php代码格式。...
php - 如何使用多个WHERE条件（预准备语句）参数化SQL查询？ php sql
2015-09-30 16:43

回答 1 已采纳 I have solved my problem using PDO which has named parameters. So here is my solution, hope it hel
Laravel Eloquent：SQL注入预防是自动完成的吗？ laravel php sql
2018-07-01 19:01

回答 1 已采纳 Yes, but... Yes, it does SQL injection prevention when you rely on the built-in ORM functionality
在动态按钮上调用参数化函数在php中单击 ajax javascript jquery php
2016-09-09 05:57

回答 1 已采纳 First of all, dont combine in your mind JS code and PHP code into one. Please set in your mind t
php防止sql注入的方法
2022-02-24 20:01

zhoupenghui168的博客在某些表单中，用户输入的内容直接用来构造(或者影响)动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如： ⑴ 某个php Web应用有一个登录页面，这个登录...
在sql中多次使用相同的预处理语句参数 php sql
2012-11-27 14:08

回答 1 已采纳 It's not possible to reuse parameters like that. You'll have to make unique parameters: $stmt = $
在Class中缺少参数 php sql
2012-11-26 10:22

回答 5 已采纳 Your constructor accepts 6 arguments, whereas you are passing just one here: $character = new Cha
无法在php中反序列化字符串 php
2012-02-01 09:32

回答 1 已采纳 I expect you just use serialize() and unserialize(). When i run it I receive Error at offset 169
php中的sql防注入
2023-03-17 10:03

羽辰不是逗比的博客 addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如，使用 %、_、- 等字符可以进行模糊查询，而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义，再使用 addslashes 函数可能会...
如何在pg_prepare（）pg_execute（）中使用参数化ORDER BY？ php postgresql sql
2015-01-12 19:05

回答 1 已采纳 ORDER BY $2 is sorting a fix value, something like this: SELECT * FROM t1 ORDER BY 'some string';
PHP代码审计4—Sql注入漏洞
2022-07-18 09:07

W0ngk的博客 SQL注入代码审计入门
怎么用PHP写登录页面并连接sql数据库
2021-10-28 08:00

1ta-chi的博客 sql 指结构化查询语言，使我们有能力访问数据库，那么后端访问数据库的原理就是在php变量中构建sql语言，使其在数据库中执行，就达到了我们访问数据库以及一系列操作的目的。数据库的结构是库、表、字段、数据，...
没有解决我的问题, 去提问

悬赏问题

¥30 这是哪个作者做的宝宝起名网站
¥60 版本过低apk如何修改可以兼容新的安卓系统
¥25 由IPR导致的DRIVER_POWER_STATE_FAILURE蓝屏
¥50 有数据，怎么建立模型求影响全要素生产率的因素
¥50 有数据，怎么用matlab求全要素生产率
¥15 TI的insta-spin例程
¥15 完成下列问题完成下列问题
¥15 C#算法问题, 不知道怎么处理这个数据的转换
¥15 YoloV5 第三方库的版本对照问题
¥15 请完成下列相关问题！

PHP参数化SQL

4条回答 默认 最新

悬赏问题

4条回答默认最新