堆栈内存溢出
  简体   繁体   English

PHP MySQL数据库问题

[英]PHP MySQL database problem

 原文  2010-04-27 18:10:01       php/ mysql

问题描述

Code 1: 代码1: 

<?php
class dbConnect {
  var $dbHost = 'localhost',
  $dbUser = 'root',
  $dbPass = '',
  $dbName = 'input_oop',
  $dbTable = 'users';
  function __construct() {



$dbc = mysql_connect($this->dbHost,$this->dbUser,$this->dbPass) or die ("Cannot connect to MySQL : " . mysql_error());
  mysql_select_db($this->dbName) or die ("Database not Found : " . mysql_error());
  }
  }
class User extends dbConnect {
  var $name;
  function userInput($q) {
 $sql = "INSERT INTO $this->dbTable set name = '".$q."'";
  mysql_query($sql) or die (mysql_error());
  }
}
?>

This is the code to call the class. 这是调用该类的代码。 

<?php
  $q = $_GET['q'];
$dbc=mysql_connect("localhost","root","") or die (mysql_error());
  mysql_select_db('input_oop') or die (mysql_error());
  $sql = "INSERT INTO users set name = '".$q."'";
  mysql_query($sql) or die (mysql_error());
?>


Code 2: 代码2: 

\n<?php <?PHP\n  $q = $_GET['q']; $ q = $ _GET ['q'];\n$dbc=mysql_connect("localhost","root","") or die (mysql_error()); $ dbc = mysql_connect(“ localhost”,“ root”,“”)或死掉(mysql_error());\n  mysql_select_db('input_oop') or die (mysql_error()); mysql_select_db('input_oop')或死亡(mysql_error());\n  $sql = "INSERT INTO users set name = '".$q."'"; $ sql =“ INSERT INTO用户设置名称='”。$ q。“'”;\n  mysql_query($sql) or die (mysql_error()); mysql_query($ sql)或死掉(mysql_error());\n?> ?>\n

My Code 1 save in my database: 我的代码1保存在我的数据库中:
替代文字
Saving Multiple! 节省多个!

My Code 2 save in my database: 我的代码2保存在我的数据库中:
替代文字

What is wrong with my code 1? 我的代码1有什么问题?

3 个解决方案

解决方案1
 5 已采纳  2010-04-27 18:15:28

Well, code 1 is open to SQL injection because you are not escaping $q. 好的,因为您没有转义$ q,所以代码1可以进行SQL注入。 As to why you get two records, that problem is not to be found in code 1 but probably in the code that calls userInput . 至于为什么要获得两条记录,这个问题不在代码1中找到,而可能在调用userInput的代码中userInput

解决方案2
 0  2018-03-31 14:25:44

它对所有SQL注入都是开放的,请尝试拥有db.php文件,并且在每个需要该数据库的php文件的开头都添加require_once。

解决方案3
 0  2018-08-24 09:16:40

Regarding SQL injection vulnerabilities, I'd suggest using prepared statements with PDO. 关于SQL注入漏洞,我建议对PDO使用预准备的语句。 It's easy to use and extremely secure. 它易于使用且极为安全。

More info: http://php.net/manual/en/pdo.prepared-statements.php 更多信息: http : //php.net/manual/zh/pdo.prepared-statements.php

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 PHP INSERT插入MySQL数据库的问题 - Problem with PHP INSERT in to MySQL database PHP&Mysql数据库更新问题 - PHP & Mysql database updating problem PHP问题导入excel到mysql数据库 - PHP problem import excel into mysql database Web开发:连接数据库的php和mysql问题 - web developpement : php and mysql problem connecting to database 使用PHP连接到远程MySQL数据库的问题 - problem connecting to remote mysql database using php mysql过程和PHP数据库连接的奇怪问题 - Strange problem with mysql procedures and PHP database connection PHP分叉和mysql数据库连接问题 - PHP forking and mysql database connection problem PHP&MySQL数据库存储名称数组问题 - PHP & MySQL database storing the name Array problem 奇怪的数据库问题! PHP MySQL Codeigniter - Strange Database problem! PHP MySQL Codeigniter PHP / MySQL更新数据库中的新闻记录问题 - PHP/MySQL update a news record in a database problem
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM