-1
我正在使用PDO的搜索功能使用預準備語句,並且使用了類似子句。 Mysql是5.5.32避免PDO中的SQL注入並使用類似子句
當用戶在html表單中爲字段輸入%時,這將轉儲所有表內容。我認爲準備好的語句會處理它,並且執行中有%,以便它與輸入的子串匹配。
如何僅將POST字段用作正常文本,以便它不會導致此類問題?
A
回答
1
當用戶在html表單中輸入字段的%時,這將轉儲所有表格內容。
是的。這就是LIKE運算符的確切目的。不,這與準備好的陳述無關。後者用於格式化數據,而不會干擾查詢邏輯。
如果你不喜歡你的代碼的工作方式 - 改變它。但目前它的工作方式與您編碼的方式完全一樣,沒有缺陷。
+0
雅我也這麼認爲,但不知道是否有一個更好的方法。 所以現在我使用它是這樣的: \t $ stmt-> execute(addcslashes(array($ _ POST ['field']),「_%」)); –
+0
我看不出這個替代品。雖然它不會造成任何傷害 –
+0
我這樣做,以便如果用戶輸入字段%,它將被轉義。如果沒有改變,完整的表格使用% –
相關問題
- 1. 避免SQL注入
- 2. 避免類似查詢的SQL注入的Android SQLite的
- 3. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 4. 如何使用sp_executesql避免SQL注入
- 5. 避免使用connection.execute進行sql注入
- 6. 避免使用if子句
- 7. Spring(MVC)SQL注入避免?
- 8. 如何避免codeigniter中的sql注入
- 9. 避免MySQL注入Zend_Db類
- 10. 在SQL語句的limit子句中使用PDO插入值?
- 11. 在PHP中避免SQL注入
- 12. YII一堆插入 - 避免SQL注入
- 13. Zend公司Db的避免SQL注入
- 14. PHP - MySQL的避免SQL注入
- 15. 我應該用guard子句,並試圖避免else子句嗎?
- 16. 使用非SQL數據庫是否避免防範「SQL注入」?
- 17. Rails:允許免費的文本SQL過濾器,並仍然避免SQL注入
- 18. MongoDB如何避免SQL注入混亂?
- 19. 避免sql注入ActiveRecord命令
- 20. PHP代碼,以避免SQL注入
- 21. 如何在Hive/SQL中的where/having子句(避免子查詢)中使用min()
- 22. 使用ASP.net保存用戶代理時避免SQL注入
- 23. Like子句和sql注入
- 24. 如何在QueryBuilder中放入SQL請求並避免使用``?
- 25. 避免在where子句
- 26. 避免在catch子句
- 27. 使用命令參數避免SQL注入
- 28. 使用SqlParameter可以完全避免SQL注入?
- 29. 在註冊表格中避免SQL注入php
- 30. 在將數據導入到SQL Server時避免使用CASE子句
它看起來像你可以用'[%]'替換'%'](http://stackoverflow.com/questions/7191449/how-do-i-escape-a-percentage-sign-in-t -sql),但這看起來像一個黑客。 –
也許這個問題接受的答案可能有助於http://stackoverflow.com/questions/3683746/escaping-mysql-wild-cards – Ma3x
感謝您的鏈接@ Ma3x –