sql 的select语法。几个十分相似的区别? 5
发现在sql语句里面有些语句非常相似呀。SELECT*FROMusersWHEREid=('$id')SELECT*FROMusersWHEREid=($id)SELEC...
发现在sql语句里面有些语句非常相似呀。
SELECT * FROM users WHERE id=('$id')
SELECT * FROM users WHERE id=($id)
SELECT * FROM users WHERE id=$id
其中$d是get到的语句。
无聊发现这几个语句都可以正常的检索数据, 但是前面两个貌似安全性更好?对于异常的输入能够过滤掉?
所以想请问一下,这三个语句在执行上到底有什么不一样呀?谢谢!! 展开
SELECT * FROM users WHERE id=('$id')
SELECT * FROM users WHERE id=($id)
SELECT * FROM users WHERE id=$id
其中$d是get到的语句。
无聊发现这几个语句都可以正常的检索数据, 但是前面两个貌似安全性更好?对于异常的输入能够过滤掉?
所以想请问一下,这三个语句在执行上到底有什么不一样呀?谢谢!! 展开
2个回答
展开全部
应该可以看出,这个ID是数字型的,
第一个,会做隐形转换,转进来的数,被加单引号成字符,而后,又与ID比较,又会转成数字
第二个和第三个,应该没有区别吧。
第一个,会做隐形转换,转进来的数,被加单引号成字符,而后,又与ID比较,又会转成数字
第二个和第三个,应该没有区别吧。
追问
谢谢。
你指的是带括号的 部分会执行隐私转换,把注入转换成数吗?
即第一个的过程: $id ( anything) -> $id (number) - > $d (string) -> $d (number)
那么是否可以理解第二个过程
$id ( anything) -> $id (number)
而第三个则没有任何转换;
$id ( anything)
追答
这主要是看$id转进来的是什么值,并且字段是什么数据类型的。然后会执行数据类型间的转换。
第二个和第三个,应该是一样的,要么都会转换,要么都不转换。
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询