如何防止此查询中的 sql 注入?
how to prevent sql injection from this query?
我正在使用 Yii 1,我想构建以下查询:
$a = Model::model()->findAllBySql(
'SELECT * FROM table WHERE name like "%'.$_GET['name'].'%"'
);
为了防止sql注入,我这样写:
$a = Model::model()->findAllBySql(
'SELECT * FROM table WHERE name like "%:name%"',
array("name"=>$_GET['name'])
);
但没有返回任何数据。此查询中是否有任何错误?
当占位符被引用时,它不是占位符,而是文字值。试试这样:
$a = Model::model()->findAllBySql(
'SELECT * FROM table WHERE name like :name',
array(":name"=> '%' . $_GET['name'] . '%')
);
驱动程序当前会自动附加冒号,但将来可能不会,最好让名称与占位符匹配。
我正在使用 Yii 1,我想构建以下查询:
$a = Model::model()->findAllBySql(
'SELECT * FROM table WHERE name like "%'.$_GET['name'].'%"'
);
为了防止sql注入,我这样写:
$a = Model::model()->findAllBySql(
'SELECT * FROM table WHERE name like "%:name%"',
array("name"=>$_GET['name'])
);
但没有返回任何数据。此查询中是否有任何错误?
当占位符被引用时,它不是占位符,而是文字值。试试这样:
$a = Model::model()->findAllBySql(
'SELECT * FROM table WHERE name like :name',
array(":name"=> '%' . $_GET['name'] . '%')
);
驱动程序当前会自动附加冒号,但将来可能不会,最好让名称与占位符匹配。