我的PHP文件包含以下函数。当我将review列设置为'$review'并将IdUser设置为2时,它可以工作,但我需要将IdUser设置为变量$user。将IdUser设置为变量而不是常量的正确语法是什么?(最好是以避免SQL注入攻击的方式)。
function addRatings2($review, $user) {
//try to insert a new row in the "ratings" table with the given UserID
$result = query("UPDATE ratings SET
浏览 1提问于2013-05-23得票数 0
回答已采纳
2回答
在本例中,是否可以使用SQL注入更新MySQL数据库中的字段或插入新行:
PHP代码中唯一的保护是mysql_real_escape_string()。
查询是用双引号构造的:"select id from db where id = $id"而不是单字串文字引号。
数据库是mysql (使用mysql_query php调用),所以我认为堆叠查询是不可能的(如果我错了,请纠正我)。
使用mysql而不是mysqli。
我试过使用像1; update users set first_name = foo这样没有运气的东西,并尝试以十六进制和八进制格式传递逗号、'和八进制
浏览 0提问于2014-11-11得票数 5
回答已采纳
我正在为我的安全模块在大学里做一个SQL注入项目,我正在努力学习它是如何工作的。
当脚本不过滤输入,然后循环遍历DB结果集,在屏幕上显示数据时,我可以看到它是如何工作的。但据我所知,以下代码是,不容易受到注入的影响,因为它只希望在屏幕上显示一组值:
<?php
mysql_connect("localhost", "root", "");
mysql_select_db("testdb");
$result = mysql_query("SELECT id, name, description FROM test_
浏览 9提问于2014-06-19得票数 0
回答已采纳
下面有个代码。我想要的是避免使用global $db,因为我听说这是一种糟糕的做法,我正在寻找更健壮/更好实现的功能。
connection.php
<?php
try {
$db = new PDO('mysql:host=127.0.0.1;dbname=blop', 'blop', 'root');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (Exception $e) {
$error = $e->g
浏览 5提问于2014-07-24得票数 0
回答已采纳
1回答
因此,我在将应用程序从旧的mysql语法转换为PDO时遇到了一些困难。
下面是我到目前为止尝试过的内容,旧的mysql行被注释掉了。
db_connect.php
<?php
class DB_Connect {
// constructor
function __construct() {
}
// destructor
function __destruct() {
// $this->close();
}
// Connecting to database
public function
浏览 2提问于2014-06-16得票数 1
回答已采纳
我知道如果我使用linq to sql,一切都将是参数化的,并且sql注入是安全的。但是IQueryable呢?
例如,我可以将某个实体转换为Iqueryable:
var myquery = mytesttable.AsQueryable();
var qText = "name="+ "\""+DynamicSearchCondition+ "\"";
myquery = myquery.Where(qText);
然后,当查询运行时,我可以从跟踪中看到传入的DynamicSearchCondition没有参数化。
最初我认为
浏览 1提问于2015-10-01得票数 7
我正在将单元测试添加到使用名称空间的现有项目中。我以前从未使用过名称空间,所以这有点冒险。我的问题是,在我的单元测试中,模拟的方法似乎仍在被调用。下面是代码文件和测试的示例。
private function selectFromDb($fields, $criteria = null) {
$fields = is_array($fields) ? implode(', ', $fields) : $fields;
$sql = "SELECT $fields FROM balloons";
if(!is_null($criteri
浏览 5提问于2014-09-16得票数 3
回答已采纳
5回答
如何使此查询具有sql注入验证功能?
$sql=mysql_query("SELECT * FROM updates ORDER BY item_id DESC LIMIT 16");
while($row=mysql_fetch_array($sql))
{
$msg_id=$row['item_id'];
$message=$row['item_content'];
}
或者有人可以给我展示一些例子,或者给我发送一个教程的链接,我对此非常陌生,如果有人能帮助我,那就太好了!:)
浏览 2提问于2011-03-30得票数 2
回答已采纳
2回答
未找到类“Db”
、、、、
当我试图用pdo_object.php文件连接到SQL数据库时,model.php返回以下错误:
Fatal error: Class 'Db' not found in /path/model.php on line 8
我确保所有的权限都是正确的,我的所有文件的凭据都是正确的。这是两个有问题的文件。
不太清楚这是什么问题,所以任何帮助都是很棒的。
pdo_object.php
<?php
$user = 'someusername';
$pass = 'somepassword';
$db_info='s
浏览 0提问于2018-05-07得票数 1
回答已采纳
我是一名信通技术二年级的学生。今年以前我从来没有做过PHP,我们的老师给了我们基础知识,在学期结束时,给了我们一个项目,它将我们在他的课程和数据库课程中学到的东西结合起来。我们将在windows上使用经典的AMP安装程序。
现在,我们的老师告诉我们,根据我们在课堂上如何制作较小的网站,制作一个简介网站。
我不明白将用户输入数据库的奇怪方法背后的意义。
首先,我们做一些PHP表单检查,以确保输入的数据是安全的,并且有些真实(例如,这里的邮政编码是4个数字,没有字母或其他符号)。
如果一切正常,我们将执行以下操作:
$sql = new SqlObject(); //from SqlObject.
浏览 0提问于2009-08-16得票数 3
回答已采纳
我只是想问在Mysql中是否有一种安全的方式来存储客户的信用。
假设他支付了100美元,我们在数据库中记下了100分。每一分都值一美元。一旦他使用了系统-我们从他的账户中减去一个计算出的金额并在他的仪表板中更新-这种情况每天都会发生很多次。
我只是想和你们确认一下,这是正确的方法吗?因为有人可能会黑进系统,把他的账户更新到100,000,然后无休止地使用系统...这就像一个预付费系统,用户可以根据他使用的资源等进行计费。
我想以某种方式确保它的安全,这样我们就可以用PHP进行计算,并在一天内多次向许多用户更新它……
有什么建议吗?
浏览 0提问于2013-01-30得票数 0
回答已采纳
我可能对层压板有一些理解上的问题,或者我只是太复杂了:-)希望有人能在这件事上带来光明.
我有一个IndexController,一个IndexController工厂和两个表(用户,照片)。
这些表都是AbstractTableGateway的扩展:
UserTable.php
<?php
declare(strict_types=1);
namespace Slideshow\Model\Table;
use Laminas\Db\Adapter\Adapter;
class UserTable extends AbstractTableGateway
{
prote
浏览 1提问于2020-10-23得票数 0
我是新的PHP,我试图为我的网站开发一个登录系统。我已经成功地登录到我的网站,但现在我试图整理我的代码,并将数据库连接代码放在一个类中,并让其他php类访问一个数据库连接类。目前,我似乎无法连接到我的数据库。我试图通过添加相关的错误报告代码来查找错误,但没有输出任何错误。
如果有人能检查我的代码,看看我哪里出错了,我会很感激的!
下面是我的php类,它检查用户名和密码- checklogin.php。
<?php
require_once(__DIR__. "/DBConnection.php");
class checklogin {
public $co
浏览 2提问于2014-01-27得票数 0
回答已采纳
根据这个网站:,它将明文编码成一个汉字密码。
我找不到关于它的算法的任何信息,有没有办法反向工程这个编码或PHP页面的源代码?
例如:
a
编码成
法 吴
和
aa
编码成
法 法 吴
和
aab
编码成
法 法 弗 吴
事实上,我觉得这很容易破译.但是我不知道为什么页面上写着“不能解密没有被这个脚本加密的汉字”。
浏览 2提问于2015-09-14得票数 0
回答已采纳
1回答
我无法让我的一个身份验证策略正确运行,导致身份验证尝试总是返回false。为了测试,我甚至强制函数返回true。我使用的是Laravel 5.4,这是我的策略函数:
public function can_modify_or_delete(User $user, Comment $comment)
{
return true;
}
在我的AuthServiceProvider.php文件中,我已经将CommentPolicy添加到我现有的策略注册中。
protected $policies = [
'App\Models\Post' => 'App
浏览 3提问于2017-05-14得票数 3
这是我的index.php
<?
require("Annonce.php");
$annonce = new Annonce();
$annonce->id=1;
$annonce->delete();
?>
我的Annonce.php是!
<?php
require("DB.php");
class Annonce extends DB {
}
?>
最后,DB是:
<?php
$db = new PDO('mysql:host=localhost;dbname=annonces;chars
浏览 5提问于2014-03-14得票数 1
我创建了一个名为CMS的ZendFramework2小模块,以便在我的站点中编写简单的文章。下面这个模块使用Zend 和TableGateway类从数据库中获取数据。
我读过许多关于创建模块的策略的网站和书籍,我更喜欢使用以下文件结构的快捷方式:
.
├── Module.php
├── config
│ └── module.config.php
├── data
│ └── data.sql
├── src
│ └── Cms
│ ├── Controller
│ │ ├── IndexController.php
│ │ ├── P
浏览 0提问于2014-05-23得票数 0
问题
我使用$GLOBALS[]变量在我的php文件中定义来自DB的表名,以使其简单地更改表名和通用的移动性/舒适性。但是..。
我听说使用$GLOBALS[]有点不好什么的。
所以,事情就是这样发生的
表在数据库中的应用
Users
Orders
Products
实际上有10-20张桌子.
global_vars.php
<?php
$GLOBALS['t_users'] = 'Users';
$GLOBALS['t_users'] = 'Orders';
$GLOBALS['t_us
浏览 1提问于2017-05-26得票数 0
回答已采纳
1回答
我实际上正在做一些关于MIFARE经典1K卡的研究,但是有一个信息我找不到。
MIFARE经典1K卡上的ATQA大小是多少?我找到了一些文档,表明它是1字节,还有一些是2字节。
我丢弃了一张卡,它似乎是一个字节,但ISO/IEC 14443-3 (6.4.2.1 -编码的自动质量保证)表明16位。
浏览 1提问于2018-12-08得票数 2
回答已采纳
1回答
我在函数中使用全局变量,经过研究,我发现在PHP中这是一个糟糕的实践,而不是应该使用依赖注入,但是在将全局变量改为依赖注入时,我遇到了问题。我的代码有什么问题?谢谢你帮忙。
update.php (全球)
<?php
include 'db_data.php';
class robot{
public function robotUpdate($conn3){
public function robotUpdate($conn3){
global $nasa;
global $id;
$r_update=&
浏览 3提问于2021-08-17得票数 1
2回答
我试图开发一个登录系统,客户和管理员都可以登录。客户将被送回索引,管理员将被发送到控制面板。我的数据库中有一个用户表。这里有一个定义用户的级别: customer =1和admin level = 0。
我对PHP非常陌生,一直在互联网上寻找答案。我找到了两个版本的我需要的东西。我不能百分之百肯定他们是正确的,哪一个是最好的使用。
示例1:
//indicate that sessions are to be used or started
session_start();
// Define $myusername and $mypassword from the form
$my
浏览 2提问于2014-04-07得票数 0
我尝试使用Hack Bar在网站上执行SQL注入。服务器没有响应SQL错误。
我还尝试使用sqlmap:
sqlmap -u http://website/login.php?op=login --dbs
sqlmap -u http://website/login.php?id=1 --dbs
[10:06:33] [CRITICAL] all tested parameters appear to be not injectable.
所以我的问题是:即使web服务器没有显示任何错误,也可以得到SQL注入吗?
浏览 0提问于2016-11-02得票数 2
回答已采纳
1回答
我目前有一个类,它创建一个数据库连接,但是我也想创建另一个连接。我已经尝试过复制类结构,但是只是重命名变量和函数,但是这不起作用,而且当我得到错误的Uncaught Error: Call to a member function prepare() on null in时,它似乎没有检测到我的新的PDO连接在哪里。在我的情况下,在创建2个数据库连接时,最好的方法是什么?
config.php:
<?php
class Database
{
private $host = "localhost";
private $db_name = "d
浏览 0提问于2018-11-17得票数 0
回答已采纳
1回答
我目前正在开发一个RESTful API来维护许多数据库。理想情况下,我应该能够从应用程序中的另一条路由调用我的API路由,对吗?
为了调用现有的路由,我尝试使用subRequest,但没有结果。当我在邮递员中执行我的路线时,我得到了以下信息:
<html>
<head>
<meta http-equiv='Content-Type' content='text/html; charset=utf-8'>
<title>Slim Application Error</t
浏览 6提问于2017-11-03得票数 1
回答已采纳
2回答
我有一个在$db中初始化PDO的connection.php文件。我想在connection.php之后包含的User.php中检查这个验证。但它给了我错误。
try {
$db = new PDO("mysql:dbname=$db_name;host=$db_host", $db_username,$db_password);
echo "PDO connection object created";
}
catch(PDOException $e){
echo $e->getMessage();
}
如何通过执行PDO来验证此
浏览 0提问于2010-12-08得票数 0
回答已采纳
4回答
我试图在symfony依赖项注入组件的帮助下将自己的类注册为一个服务,但我在类加载方面遇到了问题。
我的文件结构如下:
我的生成器类很简单
<?php
namespace Localhost\Service\String;
class Generator {
private $iStringLength;
public function __construct($iNewStringLength = 5) {
$this->iStringLength = $iNewStringLength;
}
public fu
浏览 11提问于2014-02-25得票数 1
回答已采纳
我正在尝试学习PHP中更好的OOP,我已经尝试了几个小时来解决这个问题,需要一些帮助。我使用的是php 5.4,所以我相信我可以使用后期静态绑定。
我有一个名为DatabaseObject (database_object.php)的类,它有一个名为create的函数,如下所示:
public function create() {
echo "in Create() ";
global $database; echo "<br> table: ".static::$table_name;
$attrib
浏览 0提问于2014-11-19得票数 0
1回答
我正在使用PHP在数据库中提交数据,但我希望设置更安全的代码,以便使用SQL注入,但我的一位朋友在10分钟内破解了我的数据。还有其他强SQL注入来保护数据吗?
我试过了
// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);
$email=$conn->real_escape_string(trim($_POST['email']));
$subject=$conn->real_escape_string(trim($_POST['su
浏览 3提问于2017-08-26得票数 0
2回答
我有这样的代码:
<?php
class guildData {
public $email = NULL;
public $hash_pw = NULL;
public $user_id = NULL;
public $clean_username = NULL;
public $display_username = NULL;
public function selectGuild($g_id)
{
global $db,$db_table_prefix;
$this-&
浏览 0提问于2012-08-10得票数 0
回答已采纳
3回答
我还是个PHP新手,当我以面向对象的方式进行测试时,我似乎不能运行我的简单测试代码。我的简单测试程序所做的是将您的姓名、年龄和性别保存在数据库中。
当它还处于过程化风格时,它就会运行,但当我采用OOP风格时,它就不再运行了。顺便说一下,我使用MS SQL Server作为我的数据库。
下面是我的PHP代码,文件名为process.php
<?php
class Connection {
public function connectDatabase() {
$serverName = "localhost";
$uid = &#
浏览 1提问于2014-05-22得票数 2
下面的代码由类DB组成,该类使用mysqli与SQL数据库建立连接。
<?php
class DB
{
private $mysqlilink;
private $errors;
function __construct($errors = array())
{
$this -> errors = $errors;
$this -> connect();
}
function connect()
{
$server = "127.0.0.1";
浏览 5提问于2014-01-29得票数 0
回答已采纳
我想在静态方法中从我的数据库类中调用一个非静态方法。
未登录错误:调用E:\xampp\htdocs\danacrm\libs\Setting.php:32中null上的成员函数select()
我的解决方案是什么?!
这是我的数据库类: path:./libs/Database.php
class Database extends PDO
{
function __construct($DB_TYPE, $DB_HOST, $DB_NAME, $DB_USER, $DB_PASS)
{
parent::__con
浏览 4提问于2017-09-14得票数 0
回答已采纳
我是Zend 2中的新手,我试图在布局中显示来自数据库的数据,但是我收到了错误:
Catchable fatal error: Argument 1 passed to Application\View\Helper\HotNews::__construct() must be an instance of Zend\Db\Adapter\Adapter, none given, called in C:\xampp\htdocs\webtruonghoc\vendor\ZF2\library\Zend\ServiceManager\AbstractPluginManager.php on l
浏览 2提问于2015-10-13得票数 0
回答已采纳
我是个PHP新手。我希望显示警告消息的用户避免输入重复的值,如用户名、电子邮件和电话号码。 例如,用户想要更改其用户名。当用户在编辑用户名后提交表单时,将显示一条警告消息,说明用户名已被占用或已存在。 <?php
error_reporting(E_ALL ^ E_NOTICE);
session_start();
include("../config.php");
include("../errors.php");
include("../success.php");
$errors = array();
$successes =
浏览 11提问于2019-01-22得票数 0
回答已采纳
我的任务是制作一个易受攻击的php应用程序,这是我的登录页面代码。问题是我不能让它变得脆弱。当我尝试使用登录字段进行SQL注入时,什么也没有发生。
如何使其易受SQLi攻击、or '1'='1'或类似攻击?
checklogin.php
require "config.php";
$tbl_name="members";
mysql_connect("$servername", "$dbusername", "$dbpassword")or die("Spajanje b
浏览 0提问于2013-07-17得票数 1
2回答
SQL注入PDO保护
、、、
在我的应用程序中,我有一个问题,所有的SQL查询都与PDO有关。例如,说明:
<?php
include "config.php";
$User_Check = $_SESSION['Login_User'];
if ($_SERVER["REQUEST_METHOD"] == "POST") {
Notes = $_POST["Notes"];
try {
$sql = $conn->prepare('UPDATE Accounts
浏览 4提问于2015-06-05得票数 1
回答已采纳
1回答
创建盲SQL注入漏洞
、、、
为了测试目的,我正在建立一个带有SQL注入漏洞的网站。但是,我只想配置一个盲SQL注入。我有以下PHP代码:
<?php
$news_id = $_GET["id"];
$conn = mysqli_connect("localhost","root","","db");
$result = mysqli_query($conn,"SELECT * FROM News WHERE id='" . $_GET["id"] . "'
浏览 1提问于2018-12-02得票数 1
有人能帮我个小忙吗?我有三个PHP SQL查询,并且我必须防止SQL注入。我在google上搜索,但我认为对我来说太难了,因为它与PHP结合在一起,我对PHP和SQL一无所知
如果有人能给我代码保护,我将不胜感激
代码:
$q=mysql_query("SELECT * FROM user where email= '".$_REQUEST['email']."'",$link );
$q=mysql_query("UPDATE user SET mobilePhone='".$_REQUEST['
浏览 0提问于2010-12-18得票数 0
回答已采纳
1回答
我正在构建一个具有类似于MVC的模式的应用程序,我需要知道如何处理特定的情况。我将直观地解释。
我的项目文件夹是这样组织的:
+ database
|
- postgresql.php
+ models
|
- categories.php
- countries.php
- domains.php
- example_usage.php
好的,在数据库/postgresql.php中,我有PostgreSQL数据库的驱动程序,代码如下:
<?php
// Just to test the Class
// Parse Config.ini -
浏览 0提问于2011-02-01得票数 1
回答已采纳
2回答
可能重复:
我正试着建造一个面向对象的购物车。
目前,它是半OOP,半程序.例如:
function removeFromCart() {
require_once('/.../.../connectPDO.php');
$db = connectPDO();
$sql = 'DELETE FROM Quotes WHERE User = :user and ProductId = :pid';
$stmt = $db->prepare($sql);
$stmt->execute(array(
浏览 1提问于2012-12-29得票数 0
回答已采纳
3回答
可以从mysql中删除li按类的值吗?我试过使用表单和文本区域,但我不想键入要删除的内容的文本。
HTML:
<form action='slettMelding.php' method="POST">
<button class='fjern'>Fjern</button>
<textarea name='slettTekst'></textarea>
</form>
PHP:
$li = $_POST['slettTekst
浏览 1提问于2016-05-11得票数 0
1回答
我有一个老版本的分页脚本,多年来一直为我服务,但是它几乎被开发人员抛弃了,我无法将mysql调用升级到mysqli,因为它是oop,我对它非常陌生。我的主要问题是我知道我需要更改什么,但是我无法理解使用$this-的语法。仅仅更改调用是不够的,当我添加参数时,我的编辑器会抱怨它。
当我改变的时候
$all_rs = @mysql_query($this->sql );
至
$all_rs = mysqli_query($this->conn, $this->sql );
(对于oop来说,这可能是完全错误的语法),我被告知我缺少查询参数,或者我有未声明的vars。请记住,编辑
浏览 2提问于2017-08-01得票数 1
回答已采纳
我习惯于在PHP/MySQL中进行开发,没有开发SQL Server的经验。我已经浏览过文档,在我所读到的一些方法中,它看起来类似于MySQLi。
例如,对于MySQL,我使用函数。PHP/ Server是否有类似的功能?
为了防止SQL注入使用Server,我需要采取哪些步骤?
Server与MySQL之间关于SQL预防的区别是什么?
还有- 的帖子准确吗?Server的转义字符串字符是单引号吗?
浏览 18提问于2010-04-09得票数 13
回答已采纳
我使用下面的命令尝试使用sqlmap进行SQL注入:
sqlmap -u http://localhost/abc.php?id=1 -D datab --sql-shell
以下查询在shell中运行良好:
SELECT * FROM admin
但是,当我尝试删除该表或尝试使用DROP TABLE admin之类的SQL查询或INSERT * INTO admin之类的查询插入表时,将返回以下错误消息:
[WARNING] execution of custom SQL queries is only available when stacked queries are supported
浏览 0提问于2015-09-16得票数 2
2回答
这段代码从左边的表格中选择,并在右边的表格中列出内容。这是一个正常工作的代码,但我想看看专业人士如何保护它并使其更快。
任何建议(与一些代码)将不胜感激。非常感谢
PS:它也有一个小故障:删除后,丢失右侧列表中的选定项。
<?php include("db_con1.php");?>
<html>
<head>
</head>
<body>
<form method="post" action="test.php">
<div id="left"&g
浏览 0提问于2011-08-31得票数 0
4回答
可能重复:
我看到很多php代码在堆栈溢出上浮动,并且(也)很少转义字符串。
任何人都可以
解释什么是SQL注入;
解释它能对你的服务器、数据和代码做些什么;
给出一个如何执行SQL注入的示例。
给出php示例代码如何防止SQL注入。
浏览 1提问于2011-04-19得票数 5
回答已采纳
2回答
测试SQL注入查询
、、、
我用php编写了一个代码,它允许管理员登录。密码信息从表中获取。我知道编写这样的代码不是一个好的实践,我应该使用准备好的语句或mysqli_,但我只想了解一下sql漏洞。我只想知道我的代码如何容易受到SQL注入的影响?如何绕过密码限制。我尝试在密码字段中输入密码=‘not’OR 'x'='x‘,但它并没有绕过它。这是我的密码:-
if(isset($_POST["Submit"]))
{
include 'db_connect.php';
$user=$_POST['user'];
$pass=$_POST['
浏览 4提问于2013-05-03得票数 2
回答已采纳
我使用ratchet和symfony 2.8来连接到数据库,并在有人连接到服务器时更改某一列中的值,但在这一行中出现错误
$sql = $this->container->get('database_connection');
完整的错误消息
出现错误:注意:未定义属性: check\roomsBundle\Sockets\Chat::$container
我在services.yml代码中的注入
services:
database_connection:
class: check\roomsBundle\Sockets\Cha
浏览 0提问于2017-03-20得票数 1
回答已采纳
我有一个简单的注释页面,用户在textarea中输入文本,点击注释按钮将评论发送到php页面:
<?php
$reply = strip_tags($_POST['reply']);
$comment_id = strip_tags($_POST['id']);
$id = strip_tags($_POST['user_id']);
$date = strip_tags($_POST['date']);
$time = strip_tags($_POST['time']);
$server_root = &
浏览 0提问于2014-02-11得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
