[英]how to prevent sql injection from this query?
我正在使用Yii 1,我想构建以下查询:
$a = Model::model()->findAllBySql(
'SELECT * FROM table WHERE name like "%'.$_GET['name'].'%"'
);
为了防止sql注入,我将其编写如下:
$a = Model::model()->findAllBySql(
'SELECT * FROM table WHERE name like "%:name%"',
array("name"=>$_GET['name'])
);
但它没有返回任何数据。 此查询中是否有任何错误?
引用占位符时,它不是占位符,而是文字值。 尝试这种方式:
$a = Model::model()->findAllBySql(
'SELECT * FROM table WHERE name like :name',
array(":name"=> '%' . $_GET['name'] . '%')
);
驱动程序当前会自动添加冒号,但将来可能不会自动添加冒号,最好使名称与占位符匹配。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.