Is it safe or not to use a POST var as below:
$stmt->bindParam(':'.$_POST[$field],$val);
or I need to check POST vars before?
bindParam中的POST变量
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
- douxiuyu2028 2014-09-21 14:49关注
You should use $_POST variables as the value, not the parameter name.
The $_POST variable could contain spaces or other characters that are not valid parts of a parameter name. I'm concerned that if you are doing what you show, that you have formed an SQL query like this:
$sql = "SELECT * FROM mytable WHERE mycolumn = :" . $_POST[$field];Which is definitely not safe.
And there's no reason for the parameter names to be set to user input like that. Parameter names should be fixed by you, the programmer:
$sql = "SELECT * FROM mytable WHERE mycolumn = :myparam";Then you bind using the same name. By the way, as long as you're using a reasonably recent version of PHP, you don't need the colon prefix in the bind call. You only need it in the SQL.
$stmt->bindParam("myparam", $_POST[$field]);本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
- 2020-10-30 11:53接着,代码将`$_POST`和`$_GET`变量合并到一个数组`$ArrPostAndGet`中,并遍历这个数组,调用`FunStringExist`函数对每个变量进行检查。如果发现非法字符,就会触发警告并执行跳转操作。 ```php // 合并$_POST 和 $...
- 2020-12-18 03:563. **遍历并检查GET、POST和COOKIE参数**:函数分别对`$_GET`, `$_POST`和`$_COOKIE`全局变量进行遍历,检查每个参数是否包含危险字符。如果发现含有匹配的关键词,立即终止脚本并显示警告信息,避免执行含有恶意SQL...
- 2020-10-30 12:30echo "本页得到的_POST变量有:"; print_r($_POST); echo "本页得到的_COOKIE变量有:"; print_r($_COOKIE); echo "本页得到的_SESSION变量有:"; print_r($_SESSION); echo "</pre>"; ?> ``` 接着在`php.ini`文件中...
- 2021-03-30 17:117. **会话管理**:用户验证成功后,启动 PHP 会话并设置会话变量来跟踪用户状态。例如: ```php session_start(); $_SESSION['loggedin'] = true; $_SESSION['username'] = $username; ``` 8. **错误处理和重定向*...
- 2020-10-30 11:41在不启用`register_globals`的情况下,这可以通过检查POST或GET请求中的变量来完成。以下是一个改进的例子: ```php $admin = 0; if ($_POST['admin_user'] && $_POST['admin_pass']) { // 检查用户名和密码的逻辑...
- 2021-10-26 18:15在PHP中,我们可以使用`mysqli`或`PDO`扩展来连接和操作数据库。此文件可能包含以下内容: 1. 数据库连接:使用`mysqli_connect()`或`PDO::__construct()`建立连接,需要提供数据库主机名、用户名、密码和数据库名。...
- 2024-07-09 09:13破碎的天堂鸟的博客 在PHP中处理表单数据的步骤如下:首先,使用HTML创建一个带有输入字段(如文本输入、下拉列表、复选框)的表单。指定一个action属性,该属性指定在提交表单时要处理请求的PHP脚本。创建一个PHP脚本来处理表单提交。...
- 2024-01-04 23:215. **HTTP交互**:PHP可以通过`$_GET`和`$_POST`获取HTTP请求中的数据,`header`函数设置HTTP响应头。 **Web开发相关知识点:** 1. **MVC模式**:这是一种常见的软件设计模式,将业务逻辑(Model)、用户界面(View...
- 2021-02-08 08:59萌萌的微微哟的博客 我已定义变量$row_id1(例如$row_id1 = 1;)在mysql中是名为Number的列.想要选择列号,如果列中存在$row_id,则想要获取(获取,定义)该值.实际上想要检查列号中是否存在$row_id值.代码有什么问题?$stmt = $db->...
- 2020-12-16 21:12在这个代码段中,我们使用了PDO的预处理语句来防止SQL注入攻击,通过`bindParam`绑定变量值到查询中。`TableRows`类是为了格式化输出结果,使数据更易于阅读。 6. **测试与总结**: 运行`index.html`,输入学号和...
- 2022-01-12 16:33首先,我们来看PHP中的`magic_quotes_gpc`配置。这个选项在PHP较旧版本中用于自动对用户输入进行转义,包括单引号、双引号、反斜杠和NUL字符。但是,由于安全性和性能问题,`magic_quotes_gpc`在PHP 5.4之后被弃用,...
- 2024-04-25 17:02代码小狂热者的博客 SQL注入是一种代码注入技术,攻击者通过在Web应用的输入字段中插入恶意的SQL代码,使得原本的SQL查询语句结构被改变,从而实现...变量中包含恶意的SQL代码,也不会被解释为SQL语句的一部分,从而避免了SQL注入的风险。
- 2020-10-28 14:14- 确保禁用`register_globals`选项,因为启用它可能导致误用同名的GET或POST变量,从而破坏变量作用域。通过禁用此选项,强制开发者使用如`$_POST['variable']`这样的正确命名空间,提高代码安全性。 3. **保持...
- 2021-04-21 15:36weixin_39984963的博客 PDO是一个“数据库接见抽象层”,感化是同一各类数据库的接见接口,与mysql和mysqli的函数库比拟,PDO让跨数据库的...PDO中包含三个预定义的类PDO中包含三个预定义的类,它们分别是 PDO、PDOStatement 和 PDOExcep...
- 2020-10-25 22:58- 当在SQL查询中使用变量时,应始终将其用引号括起来。这确保了即使输入数据包含SQL命令,也会被视为字符串处理,不会被执行。例如: ```sql SELECT * FROM article WHERE articleid='$id'; ``` - 相比之下,不...
- 2020-10-22 16:213. **绑定参数**:将用户提交的数据绑定到预处理的SQL语句中,例如`mysqli_stmt_bind_param()`或`PDOStatement::bindParam()`。 4. **执行SQL**:执行插入用户信息的SQL语句,如`INSERT INTO students (name, sex, ...
- 2020-03-20 09:44在该脚本中,我们可以使用PHP的`$_FILES`全局变量来获取上传的文件信息。首先,确保文件上传无误: ```php if (isset($_FILES['audio_file']) && $_FILES['audio_file']['error'] === UPLOAD_ERR_OK) { // 文件...
- 2018-09-19 19:33hixiaoyang的博客 PHP变量类型 PHP常量类型 PHP运算符类型 PHP 条件语句 PHP循环语句 PHP数组 PHP字符串操作 PHP Web概念 PHP的GET和POST方法 PHP 文件包含 PHP文件和I _ O PHP函数 PHP Cookies PHP会话 ...
- 没有解决我的问题, 去提问
