各位大神好,在下是小菜鳥一枚,在實踐中發現,類似如下的語句:
<code>SELECT * FROM seller_item_classify where sid=$sid order by cweight asc ; </code>
其中$sid為前端傳過來的數值,seller_item_classify為表明,sid為表中的一個字段名;
如果$sid傳過來的值正好是'sid'的時候,SQL的這個where就失效了,造成了全表查詢;
因為在生產環境中,$sid的值可能是數值,可能是char;我應該在php裡做對前端輸入值的過濾?
請問各位是如何看這個問題?
回覆內容:
各位大神好,在下是小菜鳥一枚,在實踐中發現,類似如下的語句:
<code>SELECT * FROM seller_item_classify where sid=$sid order by cweight asc ; </code>
其中$sid為前端傳過來的數值,seller_item_classify為表明,sid為表中的一個字段名;
如果$sid傳過來的值正好是'sid'的時候,SQL的這個where就失效了,造成了全表查詢;
因為在生產環境中,$sid的值可能是數值,可能是char;我應該在php裡做對前端輸入值的過濾?
請問各位是如何看這個問題?
<code>"SELECT * FROM seller_item_classify where sid='$sid' order by cweight asc ;"</code>
對於前端輸入值,後端必須過濾,建議使用sql預處理。
SQL的條件值都加上''
<code>sid = '$sid'</code>
as 別名 好使嗎?
加上單引號就解決了
'SELECT * FROM seller_item_classify where sid='.$sid.' order by cweight asc ;'
用pdo預處理
<code><?php $sid = issset($_REQUEST['sid']) ? htmlspecialchars(trim($_REQUEST['sid'])) : '';
if (!$sid or $sid=='sid') {
// 非法请求 这里可以抛出一些异常
}</code></code>
您什麼時候使用特質與PHP中的抽像類或接口?Apr 10, 2025 am 09:39 AM在PHP中,trait適用於需要方法復用但不適合使用繼承的情況。 1)trait允許在類中復用方法,避免多重繼承複雜性。 2)使用trait時需注意方法衝突,可通過insteadof和as關鍵字解決。 3)應避免過度使用trait,保持其單一職責,以優化性能和提高代碼可維護性。
什麼是依賴性注入容器(DIC),為什麼在PHP中使用一個?Apr 10, 2025 am 09:38 AM依賴注入容器(DIC)是一種管理和提供對象依賴關係的工具,用於PHP項目中。 DIC的主要好處包括:1.解耦,使組件獨立,代碼易維護和測試;2.靈活性,易替換或修改依賴關係;3.可測試性,方便注入mock對象進行單元測試。
與常規PHP陣列相比,解釋SPL SplfixedArray及其性能特徵。Apr 10, 2025 am 09:37 AMSplFixedArray在PHP中是一種固定大小的數組,適用於需要高性能和低內存使用量的場景。 1)它在創建時需指定大小,避免動態調整帶來的開銷。 2)基於C語言數組,直接操作內存,訪問速度快。 3)適合大規模數據處理和內存敏感環境,但需謹慎使用,因其大小固定。
PHP如何安全地上載文件?Apr 10, 2025 am 09:37 AMPHP通過$\_FILES變量處理文件上傳,確保安全性的方法包括:1.檢查上傳錯誤,2.驗證文件類型和大小,3.防止文件覆蓋,4.移動文件到永久存儲位置。
什麼是無效的合併操作員(??)和無效分配運算符(?? =)?Apr 10, 2025 am 09:33 AMJavaScript中處理空值可以使用NullCoalescingOperator(??)和NullCoalescingAssignmentOperator(??=)。 1.??返回第一個非null或非undefined的操作數。 2.??=將變量賦值為右操作數的值,但前提是該變量為null或undefined。這些操作符簡化了代碼邏輯,提高了可讀性和性能。
什麼是內容安全策略(CSP)標頭,為什麼重要?Apr 09, 2025 am 12:10 AMCSP重要因為它能防範XSS攻擊和限制資源加載,提升網站安全性。 1.CSP是HTTP響應頭的一部分,通過嚴格策略限制惡意行為。 2.基本用法是只允許從同源加載資源。 3.高級用法可設置更細粒度的策略,如允許特定域名加載腳本和样式。 4.使用Content-Security-Policy-Report-Only頭部可調試和優化CSP策略。
什麼是HTTP請求方法(獲取,發布,放置,刪除等),何時應該使用?Apr 09, 2025 am 12:09 AMHTTP請求方法包括GET、POST、PUT和DELETE,分別用於獲取、提交、更新和刪除資源。 1.GET方法用於獲取資源,適用於讀取操作。 2.POST方法用於提交數據,常用於創建新資源。 3.PUT方法用於更新資源,適用於完整更新。 4.DELETE方法用於刪除資源,適用於刪除操作。
什麼是HTTP,為什麼對Web應用程序至關重要?Apr 09, 2025 am 12:08 AMHTTPS是一種在HTTP基礎上增加安全層的協議,主要通過加密數據保護用戶隱私和數據安全。其工作原理包括TLS握手、證書驗證和加密通信。實現HTTPS時需注意證書管理、性能影響和混合內容問題。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
Safe Exam Browser
Safe Exam Browser是一個安全的瀏覽器環境,安全地進行線上考試。該軟體將任何電腦變成一個安全的工作站。它控制對任何實用工具的訪問,並防止學生使用未經授權的資源。
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
Atom編輯器mac版下載
最受歡迎的的開源編輯器
SublimeText3 英文版
推薦:為Win版本,支援程式碼提示!
記事本++7.3.1
好用且免費的程式碼編輯器
