PDO中的安全字符串变量

Finally i am migrating from sql to PDO but i am little bit confused about string'

Here is my code which work perfect and secured from sql injection

$connect = new PDO("mysql:host = localhost;dbname=sqlitest" , "root" , "");
$catId = $_GET["Id"];  //Id = int eg:1
$query = "select * from viewimage where ImageCategory =? ";
$result = $connect->prepare($query);
$result->execute(array($catId));
$result->setFetchMode(PDO::FETCH_ASSOC);
while($fetch = $result->fetch()):
    $img = $fetch["Image"];
    echo "<img src='img/event/$img' height='300px' width='300px'>";
endwhile;

but when $catId = $_GET["Id"]; where Id is a string string eg: ColorDay and i try

localhost/test/view.php?id=ColorDay'

no image display in above case if I put

localhost/test/view.php?id=1'

result same and redirect on same page containing image,which command should i use to secured from 'No Image Result' in string

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
doujiazong0322 2014-10-22 19:47
关注
this line:

$result->execute(array($catId));

Makes your code secure. If the image is not returned, it's another problem but to me it looks like it's an expected behavior.

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(1条)

报告相同问题？

关注问题

PDO中的安全字符串变量 php
2014-10-22 19:39

回答 2 已采纳 this line: $result->execute(array($catId)); Makes your code secure. If the image is not retur
PHP PDO发布字符串列表IN Where子句 mysql php
2016-07-11 01:00

回答 1 已采纳 Your $_POST["idsvar"] is a string, not an array. Use explode to split it to an array at each comma
如何在变量PHP中执行PDO php sql
2018-07-03 08:40

回答 1 已采纳 There was some syntax error in your code as $q2 is being concat with html string. Improved code sh
php字符串安全性测试,PHP中字符安全过滤函数使用总结?
2021-04-10 11:08

带刺的花仙子的博客在WEB开发过程中，我们经常要获取来自于世界各地的用户输入的数据。但是，我们永远都不能相信那些用户输入的数据...1. mysql_real_escape_string()这个函数曾经对于在PHP中防止SQL注入攻击提供了很大的帮助，它对特...
数组在PDO中转换为字符串 mysql php
2015-05-12 08:34

回答 1 已采纳 I solve this problem always using named placeholders. I personally don't like the ? stuff. You nee
如何在PDO MySQL中回显字符串？ mysql php
2015-07-24 09:23

回答 1 已采纳 Please use $sendToCountryZone = $stmtGetSendToCountryZone->fetch(PDO::FETCH_ASSOC); as it is re
php mysql pdo查询：用查询结果填充变量 mysql php
2017-07-19 07:30

回答 3 已采纳 You should use PDOStatement::fetch http://php.net/manual/en/pdostatement.fetch.php
php字符串安全性测试,PHP里8个鲜为人知的安全函数分析
2021-04-10 11:08

happytdw的博客本文实例讲述了PHP里8个鲜为人知的安全函数。分享给大家供大家参考。具体分析如下：安全是编程非常重要的一个方面。在任何一种编程语言中，都提供了许多的函数...这里我们就来看看，在著名的开源语言PHP中有哪些有...
从字符串中制作PDO php
2014-10-16 06:50

回答 1 已采纳 Oh Mysqli? i thought you said it was PDO. Mysqli doesnt support named markers like :id, you have t
非法字符串偏移'slug'PDO php
2017-04-26 13:30

回答 3 已采纳 $page is actually a string, hence the error. fetch returns one row, so this: $menu = $stmt->f
PDO bindParam更改我的字符串 php
2013-10-23 19:06

回答 4 已采纳 After inspecting it for a while, I found out what was the problem. The form that I got the input
php pdo字符,关于php：真正的转义字符串和PDO
2021-03-18 07:14

weixin_39955154的博客我需要转义单引号，这样它们就会进入我的数据库，我认为可能有更好的方法来处理这一点，而不添加(斜线)到我的所有字符串。有人能告诉我应该用什么吗？对参与方来说有点晚了，但是如果Prepare()方法不是选项(例如，当...
PDO和字母数字字符串？ php
2012-06-21 16:20

回答 3 已采纳 The correct syntax is $stm = $dbh->prepare("insert into some_table (order_number, order_po) VA
pdo mysql dsn,在数据库PDO中使用$ dsn字符串变量作为参数
2021-01-28 11:32

weixin_39960920的博客 Goal: to simply fetch array from a MySQL database.Issue: I am using the $dsn "string variable" as a parameter in the PDO Statement but there appears to be an uncaught exception and it has something to...
php pdo 中dsn参数,PHP数据对象-PDO
2021-04-14 01:12

浔阳咸鱼的博客引入PDO的概念后, PHP有了一个对数据库同一进行操作的对象:PDO的全称是：PHP Data Object(PHP数据对象)在新版本的PHP(PHP5以上)中，PHP为用户封装了一套PDO扩展库，专门用来操作不同类型的数据库！————————...
php pdo预处理查询,关于php：从PDO预处理语句中获取原始SQL查询字符串
2021-05-08 13:12

墨然隳绶的博客在对准备好的语句调用pdoStatement:：execute()时，是否有方法执行原始SQL字符串？出于调试目的，这将非常有用。对于php>=5.1，请查看php.net/manual/en/pdoStatement.debugdumpparams.php检查一行功能PDO调试。...
mysql 字符串 php 引号,为什么在将字符串变量插入mysql数据库php时需要添加引号...
2021-01-19 04:15

辉煌之欢的博客 \xampp\htdocs\yipee.php:23 Stack trace: #0 C:\xampp\htdocs\yipee.php(23): PDO->query('INSERT INTO yea...') #1 {main} thrown in C:\xampp\htdocs\yipee.php on line 23 However when I change to $insert = ...
php pdo 查看,php中pdo查询操作
2021-03-26 14:41

weixin_39968852的博客连接数据库$pdo = new PDO('mysql:dbname=php','root','root');//2.准备查询语句$sql = "SELECT name,email FROM user WHERE user_id < :user_id";//3.创建预处理对象$stmt = $pdo->prepare($sql);//4.参数...
php pdo 获取sql,php – 从PDO准备的语句获取原始SQL查询字符串
2021-04-15 16:17

weixin_39801879的博客参数不与客户端上的预准备语句组合，因此PDO不应该访问查询字符串及其参数。执行prepare()时，SQL语句将发送到数据库服务器，并在执行execute()时单独发送参数。 MySQL的通用查询日志会在执行()之后显示带有值的最终...
php取出字符串前两位,php怎么取出字符串的前几位
2021-03-25 08:45

hanzmins的博客 php怎么取出字符串的前几位php取出字符串的前几位的方法：可以利用substr()函数来实现，如【substr("Hello world",10)】。substr()函数可以返回字符串的提取部分，如果失败则返回false，或者返回一个空字符串。...
没有解决我的问题, 去提问

悬赏问题

¥15 thinkphp6配合social login单点登录问题
¥15 HFSS 中的 H 场图与 MATLAB 中绘制的 B1 场部分对应不上
¥15 如何在scanpy上做差异基因和通路富集？
¥20 关于#硬件工程#的问题，请各位专家解答！
¥15 关于#matlab#的问题：期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707，使系统具有较小的超调量
¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
¥30 截图中的mathematics程序转换成matlab
¥15 动力学代码报错，维度不匹配
¥15 Power query添加列问题
¥50 Kubernetes&Fission&Eleasticsearch

PDO中的安全字符串变量

2条回答 默认 最新

悬赏问题

2条回答默认最新