21,893
社区成员
发帖
与我相关
我的任务
分享问几个关于MYSQL的like语句里插入PDO占位符的问题
第一个是,查询某个字符串都是用like '%somestring%'这种方式来查吗?有没有什么优化的手段或者措施,比如像binary filed like '%x%'这样..
第二个是,like语句相关的查询有没有什么SQL注入漏洞?因为对这方面了解的少.
然后最后就是想了解下其它的要注意的地方~谢谢了~
第二个是,like语句相关的查询有没有什么SQL注入漏洞?因为对这方面了解的少.
然后最后就是想了解下其它的要注意的地方~谢谢了~
...全文
请发表友善的回复…
发表回复
stneo1990 2012-10-25
- 打赏
- 举报
[Quote=引用 3 楼 的回复:]
1楼发MYSQL较好..2楼提到PDO就是PHP的事了.
我也是刚接触PDO没久,没想过LIKE里放占位符呢
然而如果查阅PDO使用手册没有提到这一点的话估计官方也认为在这个问题上不用防注入吧.
不知道其他老手的经验看法如何
[/Quote]
我解决了,就是写成'subject like ?',然后在绑定参数时写上array("%".$somestring."%")就可以了.
1楼发MYSQL较好..2楼提到PDO就是PHP的事了.
我也是刚接触PDO没久,没想过LIKE里放占位符呢
然而如果查阅PDO使用手册没有提到这一点的话估计官方也认为在这个问题上不用防注入吧.
不知道其他老手的经验看法如何
[/Quote]
我解决了,就是写成'subject like ?',然后在绑定参数时写上array("%".$somestring."%")就可以了.
K-dash 2012-10-21
- 打赏
- 举报
1楼发MYSQL较好..2楼提到PDO就是PHP的事了.
我也是刚接触PDO没久,没想过LIKE里放占位符呢
然而如果查阅PDO使用手册没有提到这一点的话估计官方也认为在这个问题上不用防注入吧.
不知道其他老手的经验看法如何
我也是刚接触PDO没久,没想过LIKE里放占位符呢
然而如果查阅PDO使用手册没有提到这一点的话估计官方也认为在这个问题上不用防注入吧.
不知道其他老手的经验看法如何
stneo1990 2012-10-20
- 打赏
- 举报
好吧..开始发到MYSQL版去了.....我错了
stneo1990 2012-10-20
- 打赏
- 举报
想问一下,如果用PDO的话,怎么在like语句里面插入占位符'?'...比如像这样:like '%?%'..但是这样不行.
