Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/ssl/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Mysql 在mqsql查询语句中使用变量_Mysql - Fatal编程技术网
Fatal编程技术网
  • mysql/
  • Mysql 在mqsql查询语句中使用变量

Mysql 在mqsql查询语句中使用变量

mysql

Mysql 在mqsql查询语句中使用变量,mysql,Mysql,我想删除硬编码的Item_代码并放入$whereis变量。但是正确的语法是什么呢 $query = "SELECT * FROM `stock` WHERE Item_code = '{$testingone}' AND size='{$sizurl}' "; 每个人都喜欢SQL注入@tc。如果$testingone和$sizurl不是用户提供的,那么就不存在漏洞。为了澄清tc的观点,Yasitha:如果用户数据可以进入这两个变量中的任何一个,那么包含类似您的代码的站点

我想删除硬编码的Item_代码并放入$whereis变量。但是正确的语法是什么呢

$query = "SELECT *
    FROM `stock`
    WHERE Item_code = '{$testingone}' AND size='{$sizurl}'
    ";
每个人都喜欢SQL注入@tc。如果
$testingone
$sizurl
不是用户提供的,那么就不存在漏洞。为了澄清tc的观点,Yasitha:如果用户数据可以进入这两个变量中的任何一个,那么包含类似您的代码的站点都可能受到攻击。这是一个严重的问题。这个网站上有很多问题,讨论如何避免这个问题@cdhowie:它仍然违反了保留语义的原则(不需要用户提供来包含a'),我强烈怀疑“Item_code”是用户提供的。此外,准备好的语句通常效率更高。@cdhowie:如果不是,那么它可能是一个严重的安全问题,几个月后,当您的“测试服务器”成为生产服务器而没有充分的代码审查时,它就会显现出来。坏习惯总是坏习惯。