ImitatesqlInject
SEO:
1、最適化されている場合、タイトル部分は当社のウェブサイトのキーワードを最適化するために使用されます
検索エンジンは、ウェブサイトの重みが高い場合、ユーザーがキーワードを検索するときに最初にあなたのウェブサイトを見ることになります
2、Riyuウェブサイト---をポイントします。英語の Web サイト。日本語の Web サイトが英語の Web サイトに投票したことを示します。英語の Web サイトに投票するほど、英語の Web サイトがより優れたものになります
SQLインジェクションを防ぐ:
1select()はすべてのレコードをクエリします
find()は1つのレコードのみをクエリします
簡単なユーザー名を書き込みます 検証のために、'or 1 or'を書き込みますユーザー名フォームでは、ユーザー名が正しいことを示すプロンプトも表示されます。
質問: 検証せずに成功したのはなぜですか?
echo $model->getLastsql();//sqlステートメントを出力します
クエリの実行後、sqlステートメントの結果が次のようになったことがわかりました挿入された理由は一重引用符
であるため:
1、phpのマジッククォートを介して、ユーザーが入力したデータをエスケープします php
低バージョンではデフォルトが有効になっており、php.iniにユーザーが入力したデータが自動的にエスケープされますが、これを
Magic_quotes_gpc=On
に変更することで回避できます。正しい
2、ユーザーによって送信されたデータをエスケープしますphp
のaddslashes()
関数を呼び出します
$username=addslashes($_POST['username ' ] );addslashes関数を使用して3を処理し、thinkphpの
システム変数を使用して外部データを取得します $this->_server
thinkphp以上がTP フレームワークを使用して SQL 攻撃インジェクションを模倣するの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。