注册
登录
Sahara云大数据
PHP MySQL数据库记录更新错误与内爆值
返回
PHP MySQL数据库记录更新错误与内爆值
作者:
5678
发布时间:
2024-12-19 07:01:12 (1月前)
转自:
<div class =“excerpt”> =“西方 <span class =“result-highlight”> 撒哈拉 </跨度> “class =”checkall2“选中/&gt; 西 <span class =“result-highlight”> 撒哈拉 </跨度> &lt; br /&gt; &lt; input type =“checkbox”name =“country []”value =“也门”class =“checkall2”已选中 </DIV>
收藏
举报
2 条回复
0#
回复此人
一生流水
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 虽然使用预处理语句,但是以绝对错误的方式使用它,因为在准备之前将参数插入sql命令而不进行任何转义。此外,您不包含字符串参数 <code> ' </code> 。 </p> <P> 这意味着 </p> <P> 1)您的代码容易受到SQL注入攻击。 </p> <P> 2)如果您的国家/地区列表中包含的国家/地区包含 <code> ' </code> 在里面(比如 <code> C?te d'Ivoire </code> ),那么你的SQL将在语法上不正确。 </p> <P> 解决方案:通过绑定参数以正确的方式使用预准备语句。 </p> <pre> <code> ... $upd = "UPDATE adverts SET ad_country = :countries WHERE ad_id = :id"; $upq = $pdo->prepare($upd); $upq->bindParam(':countries', $country); $upq->bindParam(':id', $id); $upq->execute(); ... </code> </pre> </DIV>
编辑
登录
后才能参与评论
