Mysql 在mqsql查询语句中使用变量
我想删除硬编码的Item_代码并放入$whereis变量。但是正确的语法是什么呢Mysql 在mqsql查询语句中使用变量,mysql,Mysql,我想删除硬编码的Item_代码并放入$whereis变量。但是正确的语法是什么呢 $query = "SELECT * FROM `stock` WHERE Item_code = '{$testingone}' AND size='{$sizurl}' "; 每个人都喜欢SQL注入@tc。如果$testingone和$sizurl不是用户提供的,那么就不存在漏洞。为了澄清tc的观点,Yasitha:如果用户数据可以进入这两个变量中的任何一个,那么包含类似您的代码的站点
$query = "SELECT *
FROM `stock`
WHERE Item_code = '{$testingone}' AND size='{$sizurl}'
";
每个人都喜欢SQL注入@tc。如果
$testingone
和$sizurl
不是用户提供的,那么就不存在漏洞。为了澄清tc的观点,Yasitha:如果用户数据可以进入这两个变量中的任何一个,那么包含类似您的代码的站点都可能受到攻击。这是一个严重的问题。这个网站上有很多问题,讨论如何避免这个问题@cdhowie:它仍然违反了保留语义的原则(不需要用户提供来包含a'),我强烈怀疑“Item_code”是用户提供的。此外,准备好的语句通常效率更高。@cdhowie:如果不是,那么它可能是一个严重的安全问题,几个月后,当您的“测试服务器”成为生产服务器而没有充分的代码审查时,它就会显现出来。坏习惯总是坏习惯。