PHP程序中的sql語句防止POST數據注入問題

發布時間：2020-07-28 23:26:47 來源：網絡閱讀：1311 作者：hgditren 欄目：web開發

<?php
/*
本實例模仿用戶登錄時查詢數據庫的場景

$sql="select * from user where username={$_POST['username']} and userpass=".md5($_POST['userpass']);

mysql_real_escape_string($unescaped_string) 轉義 SQL 語句中使用的字符串中的特殊字符，并考慮到連接的當前字符集
本函數將 unescaped_string 中的特殊字符轉義，并計及連接的當前字符集，因此可以安全用于 mysql_query()。

sprintf() 函數把格式化的字符串寫入一個變量中。

sprintf(format,arg1,arg2,arg++)
參數 format 是轉換的格式，以百分比符號 ("%") 開始到轉換字符結束。下面的可能的 format 值：

%% - 返回百分比符號
%b - 二進制數
%c - 依照 ASCII 值的字符
%d - 帶符號十進制數
%e - 可續計數法（比如 1.5e+3）
%u - 無符號十進制數
%f - 浮點數(local settings aware)
%F - 浮點數(not local settings aware)
%o - 八進制數
%s - 字符串
%x - 十六進制數（小寫字母）
%X - 十六進制數（大寫字母）
*/

$sql="select * from user where username=".mysql_real_escape_string($_POST['username'])." and userpass=".md5(mysql_real_escape_string($_POST['userpass']));

$sql=sprintf("select * from user where username='%s' and userpass='%s'",mysql_real_escape_string($_POST['username']),md5(mysql_real_escape_string($_POST['userpass']));

?>

向AI問一下細節

亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

PHP程序中的sql語句防止POST數據注入問題

猜你喜歡

亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

PHP程序中的sql語句防止POST數據注入問題

猜你喜歡

最新資訊

相關推薦

相關標簽