mysqli 轉義字串函式
mysqli_real_escape_string($db,$string)
mysqli 預編譯
拼裝sql語句 把要進行的操作的sql語句提前寫好,把需要改變的元素變成佔位符
select * id,username from user where user_name = ? and password = ? //組裝mysql語句 ?為佔位符
$stmt = mysqli_prepare ($db,$sql); //$db->控制代碼
mysqli_stmt_bind_param($stmt,'ss',$username,$password);//繫結變數
mysqli_executensil($stmt);//執行語句
mysql_stmt_bind_result($stmt,$id,$username);
mysqli_stmt_fetch($stmt);
echo $id,$username; //把繫結結果的字段輸出出來
SQL注入基礎
最為經典的單引號判斷法 在引數後面加上單引號,比如 abc.php?id 1 如果頁面返回錯誤,則存在 sql 注入。原因是無論字元型還是整型都會因為單引號個數不匹配而報錯。如果未報錯,不代表不存在 sql 注入,因為有可能頁面對單引號做了過濾,這時可以使用判斷語句進行注入。其實所有的型別都是根據資...
SQL注入基礎
為了堅持而堅持,是撐不了多久的。sql注入就是指web應用程式對使用者輸入資料的合法性沒有判斷,前端傳入後端的引數是攻擊者可控的,並且引數代入資料庫查詢,攻擊者通過把sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。sql注入漏洞的產生要滿足兩...
SQL注入基礎
函式名稱 系統使用者名稱 system user 系統使用者名稱 user 使用者名稱current user 當前使用者名稱 session user 連線資料庫的使用者名稱 database 資料庫名 version 資料庫版本 datadir 資料庫路徑 basedir 資料庫安裝路徑 ver...