2.1w+
社区成员
问几个关于MYSQL的like语句里插入PDO占位符的问题
第一个是,查询某个字符串都是用like '%somestring%'这种方式来查吗?有没有什么优化的手段或者措施,比如像binary filed like '%x%'这样..
第二个是,like语句相关的查询有没有什么SQL注入漏洞?因为对这方面了解的少.
然后最后就是想了解下其它的要注意的地方~谢谢了~
第二个是,like语句相关的查询有没有什么SQL注入漏洞?因为对这方面了解的少.
然后最后就是想了解下其它的要注意的地方~谢谢了~
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
stneo1990 2012-10-25
[Quote=引用 3 楼 的回复:]
1楼发MYSQL较好..2楼提到PDO就是PHP的事了.
我也是刚接触PDO没久,没想过LIKE里放占位符呢
然而如果查阅PDO使用手册没有提到这一点的话估计官方也认为在这个问题上不用防注入吧.
不知道其他老手的经验看法如何
[/Quote]
我解决了,就是写成'subject like ?',然后在绑定参数时写上array("%".$somestring."%")就可以了.
1楼发MYSQL较好..2楼提到PDO就是PHP的事了.
我也是刚接触PDO没久,没想过LIKE里放占位符呢
然而如果查阅PDO使用手册没有提到这一点的话估计官方也认为在这个问题上不用防注入吧.
不知道其他老手的经验看法如何
[/Quote]
我解决了,就是写成'subject like ?',然后在绑定参数时写上array("%".$somestring."%")就可以了.
K-dash 2012-10-21
1楼发MYSQL较好..2楼提到PDO就是PHP的事了.
我也是刚接触PDO没久,没想过LIKE里放占位符呢
然而如果查阅PDO使用手册没有提到这一点的话估计官方也认为在这个问题上不用防注入吧.
不知道其他老手的经验看法如何
我也是刚接触PDO没久,没想过LIKE里放占位符呢
然而如果查阅PDO使用手册没有提到这一点的话估计官方也认为在这个问题上不用防注入吧.
不知道其他老手的经验看法如何
stneo1990 2012-10-20
好吧..开始发到MYSQL版去了.....我错了
stneo1990 2012-10-20
想问一下,如果用PDO的话,怎么在like语句里面插入占位符'?'...比如像这样:like '%?%'..但是这样不行.
[PHP]PDO占位符预处理在 IN 和 LIKE 中用法 两点注意项: 1. 占位符 (?) 必须被用在整个值的位置,不需要引号等... * PDO基于占位符的查询预处理 * * @license Apache * @author farwish <farwish(a)foxmail.com> */ $pdo = new \...
pdo_mysql扩展_从MySQL扩展迁移到PDO pdo_mysql扩展This guide is a practical overview to help you begin migrating your existing PHP code from using the older MySQL extension to the newer PDO database abstraction extension. I won’t go ...
MySQL PDO的介绍和使用 并不能使用PDO扩展本身执行任何数据库操作,必须使用一个database-specific PDO driver(针对特定数据库的PDO驱动)访问数据库服务器。 PDO并不提供数据库抽象,它并不会重写SQL或提供数据库本身缺失的功能,如果你...
MySQL数据库PDO教程 翻译烂到家了,看不顺眼轻喷。...它不支持预处理,存储过程,事务等一些现代数据库设计思想,SQL语句字符串转义函数 mysql_real_escape_string() 和 拼接SQL语句的编程方法 已经过时并且很容易出错。最
PDO pdo类 作用:数据库操作 属性: 方法: 连接数据库 function __construct("mysql:host=localhost;dbname=psd1409","用户名","密码"); 第一个参数:"mysql:host=localhost;dbname=psd1409"; mysql---数据库的类型 ...
mysql api_为什么PHP删除了对MySQL API的支持 mysql apiIntroduction (All good things must come to an end)The original MySQL API has gone away. It was deprecated (years ago) by PHP in Version 5.5, and removed from ...
PHP操作Mysql数据库(PDO) 特别注意:查询语句中的占位符应当是占据整个值的位置,如果有模糊查询的符号,应当这样做: header('Content-Type:text/html;charset=utf-8'); try{ $pdo=new PDO('mysql:host=127.0.0.1;dbname=test','root','...
pdo+mysql+php pdo为何物? POD扩展是在PHP5中加入,该扩展提供PHP内置类 PDO来对数据库进行访问,不同数据库使用相同的方法名,解决数据库连接不统一的问题。 PDO的目标: 提供一种轻型、清晰、方便的 API 统一各种不同 ...
PDO 数据库相关操作 $pdo = new PDO($dsn,'root','123456'); }catch(PDOException $error){ 异常 $error->getMessage(); 获取异常消息内容 $error->getPrevious(); 返回异常链中的前一个异常 $error->getCode(); 获取异常代码 $error->...
PDO 简介——预处理语句和存储过程 预处理语句具有两个主要的优点: 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你...
PHP的PDO类 PDO 提供了一个 数据访问 抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。 PDO 不不提供 数据库 抽象层;它不会重写 SQL,也不会模拟缺失的特性。如果需要的话,应该
pdo常用的sql写法 最近一段时间里,它缺乏开发者的关注,缺少维护将可能导致一些安全问题不能被即时修复,或者在适配新版本的MySQL的时候不能 正常工作,这成为mysql_*函数面临的的另一个问题。PHP社区最近也对mysql_*函数给出不建议...
mysql原始文件_避免原始MySQL扩展,第2部分 mysql原始文件In part one of this series we looked at what was wrong with the original MySQL API and how we can migrate to the newer, feature-rich MySQLi API. In this second part, we’ll be exploring ...
mysql 基础(学习mysql必看) Mysql基础 Mysql是一种cs架构的系统。 其中s是:存放mysql数据库的机器,上面...Mysql的命令行工具不仅提供了mysql这个客户端用来和服务程序交互查询,还有mysqldump客户端用来把结果导出到文件里;还有mysqladmin...
PHP PDO预处理 使用部门封装的MySQL操作类插入语句时碰到一个参数不明白,use_prepare = true。查文档发现是做数据库预处理用的,那么什么是数据库预处理呢?就是将动态参数嵌入到语句中编译的一个过程,编译后的语句可以重复利用...
