这是一个创建于 3023 天前的主题,其中的信息可能已经有所发展或是发生改变。
$current_account_url='查看 /打印 1'; 要怎么才可以把它插入表中的字段里呢?搞了好久都没办法。。谢谢了 $sql_url="update tools_current_account set current_account_url={$current_account_url} where Current_unit='$current_unit' and status=1 AND starttime='$starttime' and endtime='$endtime'";
 |
1
qiayue 2016-07-26 15:52:08 +08:00
\'
|
|
2
qiayue 2016-07-26 15:52:54 +08:00
另外千万不要自己拼接 sql 语句,否则的话,等着 sql 注入吧
|
 |
3
grey5659 OP |
 |
4
jugelizi 2016-07-26 16:32:09 +08:00
php 程序员?
起码 s%吧 |
|
5
qiayue 2016-07-26 16:50:03 +08:00  2
看了楼主的最近几个提问帖子,表示很为楼主公司担忧
|
 |
6
cxbig 2016-07-26 17:03:02 +08:00
为啥不用 PDO ?写这种东西代码审查能过么。。。
|
|
8
grey5659 OP 真是无语, V2EX 就只有你们这些人在这里??我就学过一点基础,本身是做产品的,现在自己尝试做个小工具练练手,不想回答问题也没必要这么嘲讽吧,一个人如果自大目中无人我觉得绝对好不到哪里去,无论是人品还是技术上!
|
 |
9
shiny 2016-07-26 18:32:56 +08:00
@grey5659 练手就更应该重视打基本功了。你自己玩玩最多就是危害你的服务器变成一台肉鸡,用于公司这样的代码会毁了公司的业务。
既然是来求教,先摆正心态。 |
|
10
grey5659 OP @shiny 本地服务器运行,仅仅是把数据做处理计算输出,减轻手工工作量,还有,我知道规范的重要性,但是就内部条件来说我就只有一些基础知识,外部条件又时间非常紧,他们怎么不看看实际情况再来秀优越感?
|
|
11
qiayue 2016-07-26 18:45:28 +08:00
时间再紧都不是写不安全代码的理由
|
|
12
shiny 2016-07-26 18:50:34 +08:00
@grey5659 没有冒犯的意思,可能你没有在线上遇到过各种各样的攻击,一个几年工作经验的程序员经常需要因为初级程序员的 bug 带来额外的负担。比如你发的这个问题,要不是因为插不进单引号,就会成为隐患埋那里。
这个行业干久了,也能理解嘲讽全开的原因。 另外,发帖了就要有被喷的准备,网络暴力是可怕的;善用搜索,避免发帖。 |
|
13
grey5659 OP @shiny 谢谢,我现在也不是程序员,仅仅是刚开始学习,另外下午测试了很久才来问的,已经在 sf 那边别人的提醒下解决了。
|
 |
14
loading 2016-07-26 19:04:12 +08:00 via Android
楼主,千万不要暴露你公司的信息,不然一定有人会去注入…
|
Select Language