day1

最新推荐文章于 2023-06-05 14:32:49 发布
最新推荐文章于 2023-06-05 14:32:49 发布
阅读量405 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 正则表达式 文章标签: server user input action url browser
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gaoge19861207/article/details/5260904
本文通过几个具体的PHP代码片段,展示了如何获取用户浏览器信息、验证ZIP编码、去除输入文本中的多余空格等操作。同时,还介绍了如何从网页中抓取所有链接的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<?php
//if(dns_check_record("php.net", "MX"))
//    {
//        print("php.net is a mail exchanger");
//    }

//1.打印出用户的浏览器类型和版本号
//    print("User Agent: {$_SERVER['HTTP_USER_AGENT']}<br>/n");
//    //try to parse User Agent
//    if(ereg("^(.+)/([0-9])/.([0-9]+)",
//        $_SERVER['HTTP_USER_AGENT'], $matches))
//    {
//        print("Full match: $matches[0]<br>/n");
//        print("Browser: $matches[1]<br>/n");
//        print("Major Version: $matches[2]<br>/n");
//        print("Minor Version: $matches[3]<br>/n");
//    }
//    else
//    {
//        print("User Agent not recognized");
//    }


//2:打乱数组顺序
// swap newlines for break tags
//    $text = "line1/nline2/nline3/n";
//    print(ereg_replace("/n", " dd ", $text));
//
//    print("<hr>/n");
//
//    //mix up these words
//    $text = "one two three four";
//    print(ereg_replace("([a-z]+) ([a-z]+) ([a-z]+) ([a-z]+)",
//        "//4 //2 //1 //3", $text));


    /*
    ** if zip submitted evaluate it
    */

    //3:判断是否是一个zip号
//    if(isset($_REQUEST['zip']))
//    {
//        if(ereg("^([0-9]{5})(-[0-9]{4})?$", $_REQUEST['zip']))
//        {
//            print("{$_REQUEST['zip']} is a valid ZIP code.<br>/n");
//        }
//        else
//        {
//            print("{$_REQUEST['zip']} is <b>not</b> " .
//               "a valid ZIP code.<br>/n");
//        }
//    }
//
//    //start form
//    print("<form action=/"{$_SERVER['PHP_SELF']}/">/n");
//    print("<input type=/"text/" name=/"zip/">/n");
//    print("<input type=/"submit/">/n");
//    print("</form>/n");

//    //set URL to fetch

//3:找到一个网页上的所有的链接
// $URL = "http://www.php.net/";
//
//    //open file
//    $page = fopen($URL, "r");
//
//    print("Links at $URL<br>/n");
//    print("<ul>/n");
//
//    while(!feof($page))
//    {
//        //get a line
//        $line = fgets($page, 1024);
//
//        //loop while there are still URLs present
//        while(eregi("href=/"[^/"]*/"", $line, $match))
//        {
//            //print out URL
//            print("<li>{$match[0]}</li>/n");
//
//            //remove URL from line
////            $replace = ereg_replace("/?", "/?", $match[0]);
//            $line = "";
//        }
//    }
//
//    print("</ul>/n");
//
//    fclose($page);


// 4:去除页面提交过来的多余的空格
/*
    ** if text submitted show it
    */
//    if(isset($_REQUEST['text']))
//    {
//        print("<b>Unfiltered</b><br>/n" .
//            "<pre>{$_REQUEST['text']}</pre>" .
//            "<br>/n");
//
//        $_REQUEST['text'] = ereg_replace("[[:space:]]+",
//            " ", $_REQUEST['text']);
//
//        print("<b>Filtered</b><br>/n" .
//            "<pre>{$_REQUEST['text']}</pre>" .
//            "<br>/n");
//    }
//    else
//    {
//        $_REQUEST['text'] = "";
//    }
//
//    //start form
//    print("<form action=/"{$_SERVER['PHP_SELF']}/">/n" .
//        "<textarea name=/"text/" cols=/"40/" rows=/"10/">" .
//        "{$_REQUEST['text']}</textarea><br>/n" .
//        "<input type=/"submit/">/n" .
//        "</form>/n");


?>

[BUUCTF][CISCN2019 华北赛区 Day1 Web2]ikun
Y4tacker的博客
09-01 7614
文章目录知识点JWTPICKLEWP部分第一步找到lv6第二步BURP抓包修改pickel参考文章 知识点 JWT JWT相关 JWT解密网站 JWT破解利用工具 PICKLE Pickle模块中最常用的函数为: (1)pickle.dump(obj, file, [,protocol]) 函数的功能:将obj对象序列化存入已经打开的file中。 参数讲解: obj:想要序列化的obj对象。 file:文件名称。 protocol:序
【网络安全常用术语解读 :什么是0day1day、nday漏洞】
weixin_62641226的博客
06-23 2283
nday脆弱性的持续时间较长,给攻击者提供了更多的可乘之机。由于微软在每月的第2个周二才会更新一个补丁,因此也被称作“补丁周二”,很多黑客都在熬夜研究修补过的漏洞,然后编写 EXP,因此也被称作“漏洞星期三”。总结起来,0 day漏洞是一个漏洞向公众公布后,立即被攻击者利用的一个漏洞,1天时间漏洞代表一个修补程序的缺陷,而 nday漏洞代表一个修补时间较晚的缺陷。2018年6月7号, Adobe修正了一个叫做CVE-2018-5002的零日性缺陷,这个缺陷是由一个恶意人士利用的,以中东为目标的黑客攻击。
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
ZXW_NUDT的博客
06-05 1925
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
大话中国C-V2X通讯标准应用层标准:在DAY1标准中对合作式智能运输系统车用通信系统进行了描述 | 车用通信系统基础应用 | DAY1应用场景 | DAY2应用场景 | 应用层交互数据集
Polelink北汇信息的博客
04-02 2972
前言 2017年9月18日,中国智能网联汽车产业创新联盟携手重庆长安汽车、通用汽车、清华大学等单位发布了我国第一部V2X应用层团体标准:《合作式智能运输系统 车用通信系统应用层及应用数据交互标准 T/CSAE 53-2017》,该标准的发布填补了我国V2X应用层标准的空白。 2020年12月31日,中国智能网联汽车产业创新联盟联合星云互联、重庆长安汽车、通用汽车等单位对2017年的标准进行了完善,推出《合作式智能运输系统车用通信系统应用层及应用数据交互标准(第一阶段)T/CSAE 53-2020》(以下简称
NOIP2017Day1T1-小凯的疑惑
Mi-Queen
11-11 7886
1.小凯的疑惑  (math.cpp/c/pas)  【问题描述】  小凯手中有两种面值的金币,两种面值均为正整数且彼此互素。每种金币小凯都有无数个。在不找零的情况下,仅凭这两种金币,有些物品他是无法准确支付的。现在小凯想知道在无法准确支付的物品中,最贵的价值是多少金币?注意:输入数据保证存在小凯无法准确支付的商品。  【输入格式】  输入文件名为math.in。  输入数据仅一行
网络安全课程day1
TangTang_AM的博客
10-26 2245
ip地址详解 局域网:一般称为内网 简单局域网构成:交换机 网线 pc 交换机:组建局域网最重要的设备 路由器:链接内网和外网 ip地址:网络编码(二进制)32位二进制组成 范围:0-255 子网掩码: 局域网通信规则:同一个局域网同一个网段。 ...
Always Day1 学会爱自己才能好好爱别人
weixin_42241350的博客
03-14 7097
开始写第一篇csdn,读沈剑文章有感
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 7026
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
小白艰苦学习之路(记录学习历程——预备篇)Day1
热门推荐
TinkerHua的博客
06-15 1万+
Day1 学习路线 Java预科知识 博客的重要性 Markdown语法 标题 #(空格)+标题名称【一级标题】或ctrl+1 ##(空格)+标题名称【二级标题】或ctrl+2 ###(空格)+标题名称【三级标题】 或ctrl+3以此类推到六级标题 字体 粗体:ctrl+B 斜体:ctrl+I 斜体加粗: 斜体加粗【三个星号】 下划线:ctrl+U 删除线:删除【两个~~】 引用 引用 >+(空格) 分割线 (三个下划线 或 三个星号) 超链接 点.
NOIP2016提高组Day1T3 换教室
lijf2001的博客
11-30 9281
NOIP2016提高组复赛 换教室
CTSC2013-day1-day2-word版试题.zip
03-14
CTSC2013,day1day2,word版试题 题目名称 手套 没头脑和不高兴 复原 源文件名 glove headless restore 时限 10s 2s 1s 测试点数目 10 10 20 内存 256MB 256MB 128MB 有无部分分 无 有 无 评测类型 传统 ...
海外科技行业:阿里巴巴2020投资者日主要内容Day1.pdf
07-16
海外科技行业:阿里巴巴2020投资者日主要内容Day1.pdf
AS400学习DAY1-DAY5
11-09
AS400学习DAY1-DAY5
1.24 C++ day1
01-24
1.24 C++ day1
基于SVM算法的人民币面值识别系统:从图像处理到机器学习模型的实现与应用 · 数字图像处理
08-11
基于支持向量机(SVM)的人民币面值识别系统的设计与实现。该系统利用MATLAB GUI工具,结合数字图像处理技术和机器学习模型,能够高效识别多种面值的人民币。主要步骤包括数据集准备、图像灰度化、边缘检测、旋转矫正、形态学操作、ROI截取、加载SVM模型、面值识别及结果验证。系统目前可识别1元至100元面值,正确率达到90%以上,并可通过扩展训练数据集来提升识别精度和覆盖更多面值。 适合人群:从事图像处理、机器学习研究的技术人员,以及对人民币面值识别感兴趣的开发者。 使用场景及目标:适用于银行、自助设备、零售终端等需要快速准确识别人民币面值的场合。目标是提供一种高效、准确、易用的人民币面值识别解决方案。 其他说明:该系统不仅展示了SVM在图像分类任务中的强大能力,还通过MATLAB GUI实现了操作流程的可视化,便于用户理解和使用。未来可以通过优化算法和增加训练样本进一步提升系统性能。
ctkqiang-WangZhongZhi-62936-1753627160067.zip
08-11
点sun小白ctkqiang_WangZhongZhi_62936_1753627160067.zip
LabVIEW调用基恩士XGX8500相机实现高效画面嵌入的开源方案 权威版
08-11
如何使用LabVIEW调用基恩士XGX8500相机实现画面嵌入的技术方案。首先,文中强调了准备工作的重要性,包括安装LabVIEW及其相关驱动和SDK,获取基恩士XGX8500相机的接口文档。接着,阐述了通过调用基恩士提供的API控制相机的具体步骤,如初始化相机、设置参数、开启预览流、获取画面数据等。然后,讲解了如何将获取的画面数据嵌入到LabVIEW的程序中,通过图形界面设计使相机画面合理显示。最后,指出该方案不仅能够节省昂贵的HX软件授权费用,还因其源程序和方法的开放性,为用户提供更多定制化的可能。 适合人群:从事工业自动化、机器视觉领域的工程师和技术人员。 使用场景及目标:适用于需要集成高质量图像采集设备的工业生产和检测系统,旨在提升自动化水平和视觉信息丰富度,降低软件授权成本。 其他说明:文中附有简单代码片段,帮助读者更好地理解和实践该方案。
PANDA 真空泵 WV 1200 A、WV 1800 A 和 WV 2400 A 使用说明书.pdf
最新发布
08-11
PANDA 真空泵 WV 1200 A、WV 1800 A 和 WV 2400 A 使用说明书.pdf
基于Jenkins Pipeline实现Java项目自动化构建与发布
08-11
资源下载链接为: https://pan.quark.cn/s/22ca96b7bd39 在当今的软件开发领域,自动化构建与发布是提升开发效率和项目质量的关键环节。Jenkins Pipeline作为一种强大的自动化工具,能够有效助力Java项目的快速构建、测试及部署。本文将详细介绍如何利用Jenkins Pipeline实现Java项目的自动化构建与发布。 Jenkins Pipeline简介 Jenkins Pipeline是运行在Jenkins上的一套工作流框架,它将原本分散在单个或多个节点上独立运行的任务串联起来,实现复杂流程的编排与可视化。它是Jenkins 2.X的核心特性之一,推动了Jenkins从持续集成(CI)向持续交付(CD)及DevOps的转变。 创建Pipeline项目 要使用Jenkins Pipeline自动化构建发布Java项目,首先需要创建Pipeline项目。具体步骤如下: 登录Jenkins,点击“新建项”,选择“Pipeline”。 输入项目名称和描述,点击“确定”。 在Pipeline脚本中定义项目字典、发版脚本和预发布脚本。 编写Pipeline脚本 Pipeline脚本是Jenkins Pipeline的核心,用于定义自动化构建和发布的流程。以下是一个简单的Pipeline脚本示例: 在上述脚本中,定义了四个阶段:Checkout、Build、Push package和Deploy/Rollback。每个阶段都可以根据实际需求进行配置和调整。 通过Jenkins Pipeline自动化构建发布Java项目,可以显著提升开发效率和项目质量。借助Pipeline,我们能够轻松实现自动化构建、测试和部署,从而提高项目的整体质量和可靠性。
$sql = "UPDATE ctb_eeee SET day1=?, day2=?, day3=?, day4=?, day5=?, day6=? WHERE project=? AND module=? and eeee=?";不使用预处理怎么执行
07-15
<think>我们正在讨论的是不使用预处理语句(即不使用prepare和execute)来执行UPDATE查询。在PDO中,我们可以使用`exec()`方法或`query()`方法直接执行SQL语句。但是,请注意,直接执行SQL语句需要我们自己构建SQL字符串,这可能会引入SQL注入的风险。因此,如果使用这种方式,必须确保所有插入到SQL语句中的值都是安全的(例如,已经过适当的转义或验证)。 然而,用户提供的SQL语句中有参数(用?占位),这通常用于预处理语句。如果我们不使用预处理语句,就需要将这些参数值直接插入到SQL字符串中。因此,我们需要做以下几步: 1. 获取所有要更新的值(即原本绑定到?的值)。 2. 将这些值进行适当的转义(防止SQL注入)。 3. 构建完整的SQL字符串。 4. 使用`exec()`或`query()`执行。 但是,请注意,PDO提供了`quote()`方法用于转义字符串,但要注意它可能会在字符串周围添加单引号,所以对于非字符串类型(如整数)可能需要额外处理(或者确保在SQL语句中字符串值有引号,而数字则不需要)。 另外,由于用户提供的SQL语句中使用了?占位符,我们需要将这些占位符替换为实际的值,并确保字符串值被正确引用。 示例SQL语句: UPDATE ctb_eeee SET day1=?, day2=?, day3=?, day4=?, day5=?, day6=? WHERE project=? AND module=? AND eeee=? 假设我们有一个数组$data,包含day1day6的值,以及$project, $module, $eeee三个值。 步骤: 1. 创建一个数组,包含所有要更新的字段值(day1day6)和条件值(project, module, eeee),顺序与SQL中的?顺序一致。 2. 遍历这个数组,对每个值进行适当的转义和格式化(字符串需要加引号,数字可以不加,但为了安全,我们使用PDO::quote(),它会自动处理字符串,并返回带引号的字符串。对于数字,我们可以选择不转义,但为了统一,我们可以判断类型,或者全部用quote转义,但要注意quote转义后字符串有引号,所以SQL语句中原本的占位符在替换时,如果是字符串,替换后就是带引号的,而数字则会被转成字符串并带引号,这可能导致SQL错误(因为数字字段不应该有引号)。因此,我们需要知道每个参数的数据类型。 由于不确定每个字段的类型,这里有一个折中的办法:对于数字类型的字段,我们使用强制类型转换(如(int)),然后直接拼接到SQL中(因为数字是安全的,不需要引号)。对于字符串,使用PDO::quote()进行转义。 但是,我们不知道每个字段的类型,所以另一种方法是全部使用quote转义,然后替换。这样,数字字段也会被加上引号,但SQLite是弱类型,所以可能可以接受(但这不是好习惯)。 因此,最好的做法是知道每个字段的类型,然后分别处理。如果不知道,我们可以假设所有day字段都是数字,而条件字段(project, module, eeee)是字符串。但实际情况可能不同。 为了简化,我们假设所有值都是字符串,并使用PDO::quote()进行转义。这样生成的SQL语句中,每个值都被单引号括起来。在SQLite中,如果字段是数值类型,它会自动转换,但可能影响性能,也可能导致类型错误(如果字段是整数,但传入的字符串不能转换为整数,则可能出错)。 因此,我们根据用户的具体情况来处理。以下是一个示例代码: 假设: $day1, $day2, ... $day6 是数值(整数或浮点数),而$project, $module, $eeee是字符串。 那么我们可以这样构建: 注意:由于数值类型不需要引号,所以我们可以直接使用,但必须确保这些值是安全的(即不包含SQL代码)。如果这些数值来自用户输入,我们不能完全信任,但因为是数值,我们可以强制转换成数字类型(如intval, floatval)来确保安全。 步骤: 1. 将数值类型的字段转换为数字(整数或浮点数),这样它们就是安全的,可以直接拼接到SQL字符串中。 2. 对于字符串类型的字段,使用PDO::quote()进行转义。 例如: $day1 = (float)$Day1; // 或者根据实际情况用intval // 然后直接拼接,因为数字是安全的 但是,在SQL语句中,数字可以直接写,所以我们可以这样构建: 示例代码: ```php // 假设我们有以下变量 $day1 = 10; // 这些值可能是从用户输入获取的,但我们已经转换为数字 $day2 = 20; $day3 = 30; $day4 = 40; $day5 = 50; $day6 = 60; $project = "some project"; // 字符串 $module = "some module"; $eeee = "some eeee"; // 创建数据库连接 $db = new PDO('sqlite:yourdatabase.sqlite'); // 构建SET部分,将数值字段直接转换为字符串(注意:确保是数字,安全) $setClause = "day1=" . $day1 . ", " . "day2=" . $day2 . ", " . "day3=" . $day3 . ", " . "day4=" . $day4 . ", " . "day5=" . $day5 . ", " . "day6=" . $day6; // 构建WHERE条件,字符串需要转义 $whereClause = "project=" . $db->quote($project) . " AND " . "module=" . $db->quote($module) . " AND " . "eeee=" . $db->quote($eeee); $sql = "UPDATE ctb_eeee SET " . $setClause . " WHERE " . $whereClause; // 使用exec执行 $affected = $db->exec($sql); if ($affected === false) { // 处理错误 $error = $db->errorInfo(); echo "Error: " . $error[2]; } else { echo "Updated $affected rows"; } ``` 但是,如果day1等字段也可能是字符串(比如包含非数字字符),那么我们就不能直接转换为数字。这时,我们需要知道它们的数据类型。如果都是字符串,那么我们可以全部使用quote转义。 假设所有字段都是字符串,那么: ```php $setClause = "day1=" . $db->quote($day1) . ", " . "day2=" . $db->quote($day2) . ", " . "day3=" . $db->quote($day3) . ", " . "day4=" . $db->quote($day4) . ", " . "day5=" . $db->quote($day5) . ", " . "day6=" . $db->quote($day6); ``` 然后条件部分同样用quote。 所以,关键在于知道字段的类型。如果混合类型,就要分别处理。 另外,注意如果字段值为NULL,那么quote会将其转成空字符串(不是SQL的NULL)。所以,如果允许NULL值,我们需要特殊处理: 例如: $value = $db->quote($value); 如果$value是null,quote会返回一个空字符串(即两个单引号),但我们需要的是NULL(不带引号)。所以,我们可以: ```php function pdoValue($db, $value) { if ($value === null) { return 'NULL'; } return $db->quote($value); } ``` 然后使用这个函数来构建每个值。 总结:不使用预处理语句执行UPDATE查询,我们需要手动构建SQL字符串,并确保所有值都被正确转义和格式化,以避免SQL注入和语法错误。 但是,强烈建议使用预处理语句,因为它们更安全、更方便。只有在特殊情况下才使用直接执行。 现在,针对用户的具体SQL语句,我们可以这样写(假设所有值都是字符串,并且处理NULL的情况): ```php // 假设$data包含day1day6的值,以及$project, $module, $eeee $values = [ 'day1' => $Day1, 'day2' => $Day2, 'day3' => $Day3, 'day4' => $Day4, 'day5' => $Day5, 'day6' => $Day6 ]; $conditions = [ 'project' => $project, 'module' => $module, 'eeee' => $eeee ]; // 构建SET部分 $setParts = []; foreach ($values as $field => $value) { $setParts[] = "$field=" . ($value === null ? 'NULL' : $db->quote($value)); } $setClause = implode(', ', $setParts); // 构建WHERE条件 $whereParts = []; foreach ($conditions as $field => $value) { $whereParts[] = "$field=" . ($value === null ? 'NULL' : $db->quote($value)); } $whereClause = implode(' AND ', $whereParts); $sql = "UPDATE ctb_eeee SET $setClause WHERE $whereClause"; $affected = $db->exec($sql); // 检查错误... ``` 注意:如果字段是数值类型,并且我们想避免加引号,那么我们需要在循环中判断字段类型(比如根据字段名),但这样需要额外的类型信息。如果无法获得类型信息,且字段可能是数值类型,那么我们可以尝试判断$value是否是数字字符串(使用is_numeric),如果是,则不加引号直接使用(但要确保安全,因为数字字符串是安全的)。但注意,如果数字字符串包含非数字字符(如千位分隔符),则不能直接使用。 因此,最安全的方式还是使用预处理语句。 由于问题要求不使用预处理语句,我们提供了上述方法,但请谨慎使用,并确保数据的安全性。 最后,如果使用SQLite,还可以使用事务来批量执行,但这里只是更新操作,所以不需要。 相关问题: 1. 在PDO中,如何防止SQL注入攻击? 2. 使用PDO的exec()方法和预处理语句在性能上有什么差异? 3. 在SQLite中,如何处理NULL值? 4. 如何安全地构建动态SQL查询?</think>### 在 PHP 中不使用预处理语句执行 UPDATE 查询 是的,可以在 PHP 中不使用预处理语句执行 UPDATE 查询,但需注意**安全风险**。以下是两种替代方法及其实现: --- ### 方法 1:使用 `PDO::exec()` 直接执行 SQL 字符串 ```php // 构建完整的 SQL 字符串(注意安全风险!) $sql = sprintf( "UPDATE ctb_eeee SET day1='%s', day2='%s', day3='%s', day4='%s', day5='%s', day6='%s' WHERE project='%s' AND module='%s' AND eeee='%s'", $day1, $day2, $day3, $day4, $day5, $day6, $project, $module, $eeee ); // 直接执行 SQL $affectedRows = $db->exec($sql); if ($affectedRows === false) { echo "更新失败: " . implode(", ", $db->errorInfo()); } else { echo "成功更新 $affectedRows 行"; } ``` **注意事项**: 1. **SQL 注入风险**:所有值必须手动转义 ```php // 使用 PDO::quote() 转义每个值 $safeDay1 = $db->quote($day1); $safeProject = $db->quote($project); // ...其他变量同理 ``` 2. **类型处理**:数字类型值不应加引号 ```php // 假设 day1 是整数 $day1Part = is_numeric($day1) ? $day1 : $db->quote($day1); ``` --- ### 方法 2:使用 `PDO::query()` 执行完整 SQL ```php // 构建安全 SQL(包含转义) $sql = "UPDATE ctb_eeee SET day1=" . $db->quote($day1) . ", day2=" . $db->quote($day2) . ", day3=" . $db->quote($day3) . ", day4=" . $db->quote($day4) . ", day5=" . $db->quote($day5) . ", day6=" . $db->quote($day6) . " WHERE project=" . $db->quote($project) . " AND module=" . $db->quote($module) . " AND eeee=" . $db->quote($eeee); // 执行查询 $stmt = $db->query($sql); if ($stmt) { echo "更新成功"; } else { echo "错误: " . implode(", ", $db->errorInfo()); } ``` --- ### ⚠️ 关键安全警告 1. **必须手动转义所有用户输入值** 使用 `$db->quote($value)` 对每个变量进行转义 ```php // 危险示例(SQL 注入漏洞) $sql = "UPDATE ... WHERE project='$_GET[project]'"; // 安全做法 $sql = "UPDATE ... WHERE project=" . $db->quote($_GET['project']); ``` 2. **数字类型特殊处理** 数值类型不应加引号: ```php // 错误(导致 SQL 错误) $sql = "SET day1='" . $intValue . "'"; // 正确 $sql = "SET day1=" . (int)$intValue; ``` 3. **NULL 值处理** 需特殊处理 NULL 值: ```php $value = ($day1 === null) ? 'NULL' : $db->quote($day1); ``` --- ### 最佳实践建议 | **场景** | **推荐方法** | **原因** | |------------------------------|----------------------------|------------------------------| | 含动态参数 | 预处理语句 (`prepare`+`execute`) | 唯一可靠的防注入方式 | | 完全可信的静态数据 | `PDO::exec()` | 简洁高效 | | 需要结果集 | `PDO::query()` | 直接获取结果集 | | 批量操作 | 事务+预处理语句 | 保证原子性和性能[^1] | > **强烈建议**:除非是处理完全可信的内部数据,否则**始终使用预处理语句**。这是防止 SQL 注入的唯一可靠方法[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值