SQL注入
2015-10-21 20:28
344 查看
public function actionIndex(){ $id='8 or 1=1 '; $sql="select * from test where id=$id"; $res=Test::findBySql($sql)->all(); print_r($res); }
or 1=1永远为真,所以,用户可能查出数据库的所有资料。
为防止SQL注入,方法一:使用占位符;
$sql="select * from test where id=:id"; $res=Test::findBySql($sql,array(':id'=>$id))->all();
相关文章推荐
- mysql 使用教程
- mysql之TIMESTAMP(时间戳)用法详解
- MySql建表与索引
- Nosql释义
- mysql 导出慢
- Oracle一个中文汉字占用几个字节
- Hibernate如何提升数据库查询的性能
- 手势识别数据库ChaLearn Gesture Challenge_1:CGD数据库简单介绍
- 学习Mongodb(一)
- MNIST手写数字数据库
- 自学mysql数据库之基本语句
- SQL 排序查询优化
- mysql存储过程详细教程
- SQL事务
- SQL 聚集函数使用
- mysql-data-dumper
- Tomcat利用Redis存储Session【单点redis和群集redis】
- MySQL获取汉字的拼音首字母
- 用Redis存储Tomcat集群的Session
- Redis__WindowsServer主从服务部署及调用实例