PHP 如何再SQL语句中加入变量?
如何在SQL中加入变量"SELECT*FROMuserWHEREll_user=$id";这里如何加入ID变量这么写总不对//ll_user是字符串$id内容是dove如...
如何在SQL中加入变量 "SELECT * FROM user WHERE ll_user=$id"; 这里如何加入ID变量 这么写总不对 //ll_user 是字符串 $id 内容是 dove 如果是 "SELECT * FROM user WHERE ll_user='dove' " 就没问题 用变量要如何写?
展开
6个回答
展开全部
你说的只是php代码中可能会允许你使用注入语句,但是一般来说,网站防注入都是在链接数据库的类中加入了转换,也就是说把注入语句的关键字都加上了转义字符。比如你遇到的这种情况,就是被防注入了。
关于你这个问题:
问:输入框中的SQL语句应该如何写?
条件:数据库表、字段全已知,输入框长度不限。
我只能跟你说,你可以在输入框中加入;,/这种符号,让语句解析的时候出现问题,让php把sql语句拼合成两个或两个以上。这样你就可以在第二条语句之后加入你想要执行的命令了。
如果这种方法没有效果,你只能使用溢出的方式来注入!
关于你这个问题:
问:输入框中的SQL语句应该如何写?
条件:数据库表、字段全已知,输入框长度不限。
我只能跟你说,你可以在输入框中加入;,/这种符号,让语句解析的时候出现问题,让php把sql语句拼合成两个或两个以上。这样你就可以在第二条语句之后加入你想要执行的命令了。
如果这种方法没有效果,你只能使用溢出的方式来注入!
展开全部
如果你这么写是不会被解析成你想要的值的,所以你应该写成
"select * from user where ll_user='.$id.' "。
"select * from user where ll_user='.$id.' "。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
sql中处理的数据一般都是php处理完的数据,可以直接写在sql中做变量传递,但客户端传递来的php变量一定要严格过滤才能写在sql中。
正确形式应该是: " SELECT * FROM user WHERE ll_user=‘$id’ ";
正确形式应该是: " SELECT * FROM user WHERE ll_user=‘$id’ ";
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
"SELECT * FROM user WHERE ll_user=‘$id’“
直接变量替换dove 就行啊
直接变量替换dove 就行啊
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
"SELECT * FROM user WHERE ll_user=".$id;
使用点连接符
使用点连接符
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询