2
爲什麼我看到在MySQL查詢的幾個例子語法:PHP - 圍繞在MySQL變量單引號通過PHP查詢
$q = "CREATE TABLE '$tablename' ('$t_id_name')";
或類似的東西來呢?我在詢問有關變量名稱的單引號。這是需要在MySQL字符串?如果我回顯字符串,它似乎擴大了引號是否存在的變量。
如果這樣做是爲了一個整數的東西,這會造成一個問題嗎?
A
回答
3
要回答你的問題,引號是必要的,但不是擴大變量。一個典型的SQL查詢應該是這樣的:
$q = "SELECT * FROM `table` WHERE `first_name` = 'user3475234'";
現在,請看下面的例子:
<?php
$tablename = "users";
$user = "user3475234";
$q = "SELECT * FROM `$tablename` WHERE `first_name` = '$user'";
echo $q;
這將顯示:SELECT * FROM `users` WHERE `first_name` = 'user3475234'。請注意,引號不必輸出字符串,但它們是查詢的必要部分。
這就是說,像這樣的代碼將您的腳本打開SQL注入。我不會解釋太多,因爲有大量資源在討論它,但請考慮用戶名爲user3475234' OR 1==1--的示例。此用戶名將有效地返回表中的所有用戶。
+0
我很好奇是否你有意地分別輸入'和'?有沒有優先使用一個或者他們都只是應該只是普通的單引號?此外,我現在正在使用mysqli_real_escape_string來避免隨此附帶的SQL注入(但我不認爲它會檢查「字符」)。 – user3475234 2014-10-19 21:43:44
+1
反引號用於表名和列名,並且僅當表或列名是預留的MySQL關鍵字時才需要。另一方面,價值觀被引號包圍。 – 2014-10-19 21:55:20
2
如果字段或表名與mysql命令相同,則必須使用反引號(`)作爲字段或表名。你需要使用單引號(')作爲價值。
相關問題
- 1. PHP變量不能通過單引號
- 2. PHP變量包含單引號時未插入MySQL查詢
- 3. PHP變量在MySQL查詢
- 4. PHP MySQL查詢X = $變量
- 5. PHP變量和MySQL查詢
- 6. Mysql查詢php變量
- 7. PHP和MYSQL - 查詢變量
- 8. Mysql的變量通過PHP MySQL查詢不工作
- 9. 試圖逃脫單引號和雙引號的PHP MySQL查詢
- 10. PHP mySQL查詢和PHP變量
- 11. PHP MySQL更新減號變量沒有單獨的SELECT查詢
- 12. mysql查詢需要引號變量
- 13. PHP:不能通過單引號字符串mysqli的查詢
- 14. MySQL查詢問題 - 未通過的PHP變量包括
- 15. 在php查詢中的MYSQL變量
- 16. 在php變量mysql查詢結果
- 17. 在mysql查詢中使用php變量
- 18. 如何刪除對SQL查詢變量的雙引號在PHP
- 19. 如何附上變量單引號PHP
- 20. PHP和mySQL單引號或雙引號?
- 21. php post:用sqlserver查詢替換單雙引號的單引號
- 22. 通過PHP變量
- 23. 通過PHP變量
- 24. MySql查詢中的PHP變量
- 25. 將PHP變量傳遞給MySQL查詢
- 26. mysql查詢中的PHP變量名
- 27. PHP與變量的MySQL查詢
- 28. 使用PHP變量的MySQL查詢
- 29. 配售PHP變量到MySQL查詢
- 30. MySQL查詢不與PHP變量工作
停止將它們視爲變量名稱,只是因爲您在代碼中使用了變量;這是你正在構建的MySQL聲明。使用反引號('),而不是單引號(')來封裝MySQL中的表和列名稱(儘管如果它們是MySQL保留字,混合大小寫或使用非字母數字字符,您只需要它們) – 2014-10-19 21:19:14