Mysql
 sql >> Baza danych >  >> RDS >> Mysql

jak zapobiec wstrzyknięciu sql z tego zapytania?

Kiedy symbol zastępczy jest cytowany, nie jest to symbol zastępczy, jest to wartość dosłowna. Wypróbuj w ten sposób:

$a = Model::model()->findAllBySql(
                      'SELECT * FROM table WHERE name like :name',
                      array(":name"=> '%' . $_GET['name'] . '%')
                      );

Sterownik obecnie automatycznie dołącza dwukropki, ale może nie w przyszłości, najlepiej, aby nazwa była zgodna z symbolem zastępczym.




  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. MySQL:GROUP_CONCAT z ORDER BY COUNT?

  2. Jak wyświetlić sortowanie tabeli w MySQL

  3. Witryna została zhakowana przez wstrzyknięcie SQL

  4. Użyj relacyjnych baz danych MySQL na Ubuntu 9.10 (Karmic)

  5. Przy imporcie MySQL:BŁĄD w wierszu 32769:Nieznane polecenie „\”