你好,我正在用node.js和mysql开发服务器。当我阅读一些关于mysql库的文档时,我发现打开多语句选项会增加SQL注入攻击的范围。
我知道如果我使用带有'?‘的SQL语法将会避开SQL语法。所以我想如果我用?在使用多个查询的情况下,无法进行SQL注入攻击。是对的吗?
例如,
let sql = "UPDATE auth_user SET last_login=now() WHERE username=?; SELECT id, nickname FROM auth_user WHERE username = ? LIMIT 1"; let params = [u
浏览 5提问于2018-05-11得票数 2
4回答
我编写了如下程序上传到腾讯云的开发环境,想访问腾讯云的mysql数据库,但执行结果:data:null,这是什么原因?谢谢!
<?php
$conn = mysql_connect("localhost","root","123456","zhangning");
$sql = "select * from yg";
$result = mysql_query($conn,$sql);
echo json_encode($result);
mysql_close($conn);
?>
浏览 1417提问于2018-04-19
可能重复:
我是PHP新手,我想确认一下。如果我将mysql_real_escape_string用于用户生成的输入(变量),查询将不会被黑?
示例脚本:
// Getting Unique ID
$sql = "select `Person_id` from `accounts` where `username` = '$username'";
$query = mysql_query($sql) or die ("Error: ".mysql_error());
while ($row = mysql_fetch_array($qu
浏览 4提问于2011-10-07得票数 0
3回答
我正在尝试理解mysqli扩展,并做了谷歌,但得到的信息很少,除了php.net,这是有帮助的。
现在,在所有这些之后,我正在尝试使用mysql扩展实现我所能实现的功能,如下所示:
// MYSQL STYLE OF fetching array, query limit and perform total row count all at once
$sql = "SELECT SQL_CALC_FOUND_ROWS *, post.id as pid, bla bla FROM account ORDER BY pid ASC". $eb["array"]
浏览 2提问于2013-02-04得票数 6
回答已采纳
我就是这样得到我的部门的
$deptid=$_SESSION['deptid'];
public function setSkillMatrix($data)
{
//return print_r($data,true);
//$ot="";
$deptid=$_SESSION['deptid'];
if(!$data || !is_array($data)|| !sizeof($data)){throw new Exception("No data sent.&#
浏览 3提问于2010-02-03得票数 0
回答已采纳
2回答
我有两个表,分别是visitormaster和访问者评论。访问者主控有独特的visitorid和评论,访问者将visitorid作为外键存储在Visitor中。我想获取以下格式的数据:
[
{
"visitorid":1,
"visitorname":"ABC",
"comment":
{
"commentid":2;
"comment
浏览 2提问于2015-08-25得票数 0
5回答
我被要求处理一个网站的安全问题,这个网站是由另一个程序员建立的。到目前为止,我还没有看到任何代码,所以我在这一点上脱离了假设,我想涵盖我的基础。托管该站点的组运行了安全检查,发现他们有易受SQL注入攻击的代码。
示例: www.example.com/code.php?pid=2& ID =35 (GET参数ID易受SQL注入攻击)
现在,因为我是一个新手,我已经解释过,我可能会解决主机的问题,但他们的网站仍然需要有更深层次的安全知识的人来检查。
因此,为了防止潜在的SQL注入(并且不会看到代码),我将使用mysql_real_escape_string:
$query = sprin
浏览 4提问于2011-04-19得票数 3
回答已采纳
2回答
在mysql (8.0)中,有一个有超过1000万行的表,我想将它转储为批量插入sql。
我希望每个insert sql包含1k或10k行,这样就可以快速、总体地执行sql文件。
那么如何做这样的垃圾场呢?
浏览 0提问于2020-10-10得票数 2
回答已采纳
2回答
如果php代码像下面这样,它就像mysql存储过程的等价物。如果有任何关于mysql高级存储过程的链接教程,请输入。
$sql = " SELECT a,b FROM j ";
$result = mysql_query($sql);
if(mysql_num_rows($result) > 0) {
while($row = mysql_fetch_array($result)) {
$sql_update = "UPDATE b set a=" . $row['a'] . "'";
浏览 0提问于2008-12-16得票数 2
2回答
而不是硬编码查询:限制3,我想得到不同的限制号码,每次我按下按钮。
到目前为止,这就是我所得到的:
$region=$_GET["region"];
$number=$_GET["limit"];
$con = mysql_connect('localhost') or die(mysql_error());
mysql_select_db('test') or die(mysql_error());
$sql1="SELECT size,price,member FROM buy WHERE region= &#
浏览 11提问于2011-04-06得票数 0
1回答
如何在此代码中使用PHP表单验证?谢谢
<?php
$hostname = ""; // usually is localhost, but if not sure, check with your hosting company, if you are with webune leave as localhost
$db_user = ""; // change to your database password
$db_password = ""; // change to your database password
$databas
浏览 1提问于2011-06-03得票数 0
2回答
我将如何改变MySQL表中“注册”日期的显示方式?我希望以这种方式格式化日期:,2013年8月26日星期一下午6:04PM,而不是基于24小时时钟的通常标准格式。
目前我有:
$value = mysql_real_escape_string($_POST['First']);
$value2 = mysql_real_escape_string($_POST['Last']);
$value3 = mysql_real_escape_string($_POST['City']);
$value4 = mysql_real_escape_stri
浏览 0提问于2013-08-26得票数 0
如何记录生成的sql查询(没有mysql事件探查器)?
我正在使用Simple.Data.Mysql
浏览 0提问于2012-02-15得票数 8
回答已采纳
1回答
试图在其他地方找到答案,但没有成功。任何人想纠正我,我肯定我错过了一些基本的东西-我只是找不到什么。
我有表'data‘,有11列,inc 'from_Date’和_date‘。结果目前正在显示的日期是最遥远的未来第一。我要求结果首先显示为最近的日期(即ASC/DESC)。
已经尝试过ORDER BY from_date -没有效果。表单代码中的示例数据/页面上的结果(供参考)
<form action="webdeals.php" method="post" name="form1" id="form1"
浏览 0提问于2013-01-13得票数 0
回答已采纳
1回答
我在下面有这个脚本,它扫描允许看到帖子的用户。如何更新它,使其将查看人员的ID与字段中存储的ID相匹配。存储的条目将类似于99394david,324234 something,34343jane。所以我有的这个脚本和它不匹配。
$kit = mysql_real_escape_string($_GET['id']);
$sql="SELECT `Who_can_see` from `posts` where `post_id` = '$kit'";
$result=mysql_query($sql);
$quer
浏览 1提问于2012-04-26得票数 0
回答已采纳
我想知道如何在PHP中使用内部联接显示来自两个不同表的数据。我用时间恢复我的数据库记录,但是我不能同时从我的表"Cliente“和我的表"Usuario”中获得数据,我只是不知道我丢失了什么.有人能帮我解决这个问题吗?
下面是我使用的代码:
$sql6 = "SELECT * FROM cliente
INNER JOIN usuario ON cliente.id_usuario = usuario.id_auto
WHERE
usuario.id_imobiliaria = '$id_imobiliaria'
ORDER BY cliente
浏览 0提问于2018-02-13得票数 0
回答已采纳
1回答
数组上的输出转义以防止xss
、、、、
我需要写一份报告,说明如何防范SQL注入和XSS,以及我创建的网站的安全性可以如何改进。
在我的网站上,我使用jquery的jTable显示来自MySQL数据库的数据。
使用mysql_real_escape_string对数据库中新条目的输入进行清理:
$fieldName = mysql_real_escape_string($_POST["fieldName"]);
(虽然在我的报告中,我建议使用准备好的饱和材料是一个更好的选择,并说明了原因)
输出使用以下方式显示:
print json_encode($jTableResult);
在测试我的网站时,我意识到,虽然我使
浏览 1提问于2014-01-16得票数 0
回答已采纳
1回答
我想从C程序中执行SOURCE data/keyw.sql。此查询在从命令行执行时运行良好,但在执行mysql_query(con, "SOURCE data/keyw.sql")时会出现以下错误
您的SQL语法出现了错误;请检查与您的MySQL服务器版本相对应的手册,以便在第1行使用接近“源数据/keyw.sql”的正确语法。
任何帮助都将不胜感激。
浏览 0提问于2019-07-16得票数 0
回答已采纳
1回答
这又是我,我想再问一遍,如何在php mysql中分页过滤结果?我的分页只显示存储在数据库中的所有文件,但是当我想搜索例如所有采访过的备注的记录时,它将显示所有带有备注的文件,然后在第2页中仍然显示过滤的结果。
我的问题是,当我单击分页时,第二个页面将再次检索存储在数据库中的所有文件。我要的第二页是过滤的结果。
帮帮我。
search.php
<form id="form1" name="form1" method="get" action="">
<br/>
<div>
&am
浏览 3提问于2012-09-19得票数 1
我在类方法中为createConnection和createDatabase编写方法。连接正在成功创建,但数据库不会因为SQL查询输入错误而创建。
class methods{
public static Connection CreateConnection() throws SQLException, ClassNotFoundException
{
Class.forName("com.mysql.cj.jdbc.Driver");
Connection con = DriverManager.getConne
浏览 4提问于2022-06-04得票数 0
1回答
我刚刚意识到,sql (.sql)中有一些行以/*!开头,不是注释,它们是为执行一些系统级任务而执行的。
我想知道以/*!开头的行对于MySQL真正意味着什么,以及为什么在符号旁边使用这个数字(在我的示例中是4000)。
下面是一个例子:
/*!40000 ALTER TABLE `my_table` DISABLE KEYS */;
INSERT INTO my_table VALUES ('value1','value2');
/*!40000 ALTER TABLE `my_table` ENABLE KEYS */;
编辑:,我不认为这个问题是重复的,根
浏览 3提问于2015-05-22得票数 16
回答已采纳
我试图从mysql填充下拉列表值,并将其显示在html表的td中,我尝试了以下代码,但它不填充mysql的值可以帮助我如何做到这一点。
<table id="CPH_GridView1" style="width:1452px">
<thead>
<tr>
<th style=" width:102px">Clien ID </th>
<th style=" width:100px">Co
浏览 2提问于2013-11-06得票数 1
1回答
多个插入不起作用
、、、、
我有多个If语句,如果为真,则将数据插入到数据库中。问题是,第二个INSERT语句插入了它4次。我如何阻止它添加重复项。同样,返回的$_POST‘’tshirt‘只包含一个值,该值被插入了4次。
if(isset($_POST['distance'])) {
$dist = $_POST['distance'];
$sql="INSERT INTO sportevent_parameters.Distance(value, user_ref, event) VALUES ('$dist', '$id', '$eve
浏览 0提问于2011-10-17得票数 0
回答已采纳
3回答
PHP留言簿错误
、、
<?php
$sql = mysql_connect("localhost" , "root" , "usbw") or die(mysql_error);
mysql_select_db("guestbook" , $sql);
if($_SERVER['REQUEST_METHOD'] == 'POST') (
$user = mysql_real_escape_string($_POST['user']);
$m
浏览 11提问于2012-07-17得票数 0
3回答
我正在尝试将几百个文本文件中的数据加载到数据库中。
我相信MYSQL是在没有插入所有行的情况下退出循环的。
有没有人能建议如何用PHP代码在数据末尾插入1000行的块?
$filenames_array = array();
foreach($filenames_array as $filename)
{
$file_array = file($filename);
$file_value = $file_array[0];
$new_array = explode(",", $file_value);
浏览 1提问于2009-11-28得票数 0
在MySQL中,存储过程中是否存在与MS SQL的RETURN语句等效的语句?
浏览 2提问于2009-06-06得票数 3
回答已采纳
我正在与一个有十年历史的网站合作,该网站拥有一个具有搜索功能的数据库。我对搜索函数有问题,因为它会返回以下错误:使用的表类型不支持全文索引。我快速搜索,认为该表使用了错误的引擎类型,并将其从InnoDB转换为MyISAM。然后,搜索功能完美地工作了。然而,几分钟后,搜索功能就停止工作了。这张桌子又回到了InnoDB。我仔细查看了站点上的代码,似乎有一个名为KT_MXSearch.class.php的页面循环、删除/创建表'src_cache_cah‘,用于存储潜在的结果。我试图让代码停止从MyISAM中更改。我是PHP的菜鸟,这有点让人难以接受,所以我希望这里的人能帮上忙。数据库运行在
浏览 0提问于2019-02-15得票数 0
回答已采纳
3回答
我试图了解如何在SQL中使用if (在mySql中)。
我编写了这个源代码:
$query = "
IF NOT EXISTS(SELECT * FROM sec WHERE CHROM='1' AND POS='2')
INSERT INTO sec (CHROM, POS) VALUES ('1','2')
END IF
";
mysqli_query($config, $query) or die('Eror: ' . mysqli_error($config));
我得到了一个错误:
浏览 4提问于2014-12-22得票数 2
回答已采纳
2回答
我的程序从SQL文件恢复一个MySQL数据库。如果我想在我的程序中显示SQL执行的进度,我需要知道文件中SQL语句的数量。我如何在MySQL中做到这一点?(查询可能由mysql特定的多行insert语句组成)
我可以使用MySQL命令行工具或Python API。也欢迎您发布其他DBMS的解决方案。
浏览 2提问于2011-04-30得票数 1
3回答
我有以下代码:
function fetch_conversation_messages($conversation_id){
$conversation_id = (int)$conversation_id;
$sql = "SELECT
`conversations_messages`.`message_date`,
`conversations_messages`.`message_date` > `conversations_members`.
浏览 0提问于2014-02-14得票数 0
1回答
我是php的新手,我想知道如何遍历一个动态创建的表单,这样我就可以将表单中输入的任何内容输入到我的数据库中--所以我的代码似乎有问题。因此,measurement和foodid是整数,而unitMeasurement是select option表单类型中的字符串。
<?php
if ($_POST['formSubmit'] == 1) {
$measurement = $_POST['measurement'];
$foodid = $_POST['foodid'];
$unitMeasurement = $_POST[&#
浏览 2提问于2016-03-09得票数 0
1回答
我的问题是如何将一个值限制为仅为1?
以下是我的代码
$sql = "SELECT * from news Order by n_date Desc";
$con = mysqli_connect($server_name,$mysql_user,$mysql_pass,$db_name);
$result = mysqli_query($con,$sql);
$response = array();
while($row=mysqli_fetch_array($result))
{
array_push($response, array("NID&#
浏览 3提问于2017-02-26得票数 0
我是Groovy的新手,我有一个疑问。假设我正在做这样的事情:
db.execute '''
//my sql commands
'''
从编程上讲,我如何才能发现我的execute方法成功了?
我试过这样做:
def status = db.execute '''
//my sql commands
'''
但是,即使数据已经插入到数据库(我在mysql客户机中查看过)中,status仍返回false。这让我很困惑。怎么回事?
浏览 0提问于2012-07-07得票数 0
回答已采纳
1回答
在我的数据库中,我得到了由自己的ID显示的单个记录。但是,如果我用一个不存在的ID (比如site.com/index.php?id=3553255__)写地址,它会将我发送到用作“模板”的页面,但是没有数据(一个空页面)。
如果记录为空或不存在,如何发送报头状态404?
这是我的密码:
<?php
if(isset($_GET['id'])) {
$id = mysql_escape_string($_GET['d']);
include 'mysql_conexion.php';
$sql=" SELECT * FROM
浏览 0提问于2014-07-03得票数 0
我试图通过运行testdb.sql文件来初始化我的数据库
private static Connection con;
private static void initConenction() throws SQLException{
//Getting the connection
String url = "jdbc:mysql://localhost:3306/testDB?allowMultiQueries=true";
final String userName = "root";
final String passwo
浏览 10提问于2022-12-02得票数 0
3回答
我有以下问题。我正在尝试编写从csv文件导入数据的函数。在此文件的价格列中,如果有类似'<>‘的符号,则表示价格是以美元为单位,需要进行转换。我知道这个变量是用数字表示的。如何将其转换为字符串?或者为什么这个语句根本不起作用?和往常一样,这里是源代码。
$str='<>';
if( $variant['price'] ==$variant['price'].$str)
{
$sql = mysql_query("SELECT rate_to FROM s_currencies WHE
浏览 0提问于2013-07-30得票数 0
使用mySQL中的GUI创建phpAdmin表时,有一个选项可以预览命令。
一旦您创建了一个表,进行了调整并最终确定了结构,是否可以检查当前版本的表的SQL命令?
浏览 0提问于2020-03-29得票数 0
回答已采纳
我刚开始使用mysql,试图将数据插入到一个名为crashcourse的新模式中。我的代码是: use crashcourse;
source /Users/chenxinyu/Downloads/mysql_scripts/create.sql ;
source /Users/chenxinyu/Downloads/mysql_scripts/populate.sql ; 但是结果是"11:35:24源/Users/chenxinyu/Downloads/mysql_scripts/create.sql错误代码: 1064.您的SQL语法有一个错误;请查看与您的MySQL服务器版本
浏览 46提问于2021-06-13得票数 0
我使用NodeJS和mysql来处理SQL数据库。
作为学校的例子,我想模拟school 。
我用可能的SQL injection编写了代码
const mysql = require('mysql')
const connection = mysql.createConnection({
host: settings.DB_MYSQL_HOST,
user: settings.DB_MYSQL_USER,
password: settings.DB_MYSQL_PSW,
database: settings.DB_MYSQL_DB,
})
浏览 1提问于2018-02-08得票数 2
我们可以使用以下命令导入使用mysqldump创建的转储: mysql -u username -p database_name < file.sql 我想知道mysql是如何处理转储文件的,有没有一些标准化的模式或代码来解析sqldump文件,或者mysql是否使用自己的专用格式? 我确信一定有一些专门为mysql构建的解析器,用于解析命令或文件。我很想知道解析器已经在其他语言中实现了,这样人们就可以解析mysql文件,甚至是完整的转储文件。 我的第二个问题:是否有其他语言的mysql解析器的实现(在文件级)。更具体地说,我想知道是否可以正确有效地解析INSERT INTO TABL
浏览 14提问于2019-02-21得票数 0
1回答
我正在处理一个链式select下拉列表,它从数据库中提取数据以填充类别组合框,同时在选择类别组合框中的选项时填充子类别组合框。类别下拉框从数据库中提取数据没有任何问题,但是我在获得子类别组合框选择数据库中的数据时遇到了问题,这是基于类别组合框中选择的选项的'id‘,box.Any帮助pls?下面是我的php代码和显示数据的jquery代码。
<?php
include ('../storescripts/connection.php');
function ShowCategory(){
$sql = "SELECT *
浏览 1提问于2012-10-10得票数 0
2回答
我正在尝试拥有一个表单,它在提交时会将简单SQL查询的输出返回到页面上,而不需要重新加载(AJAX)。我可以让简单的输出工作,但是当我使用PHP进行SQL查询时,什么都不会返回。任何帮助都将不胜感激。无论如何,我也找不到来检查Javascript/Php有什么问题。
对于web开发来说非常新,所以如果这是微不足道的话,请原谅。所有以前找到的解决方案都没有起作用
我的准则;
a1.php
<script src='../js/scriptget.js'></script>
<form>
<fieldset>
浏览 3提问于2015-01-01得票数 3
回答已采纳
1回答
我正在尝试建立一个订单,其中客户输入任何数量,因此我的库存得到更新,从而为下一个客户保持当前金额,我一直在尝试提供正确的代码,但到目前为止还没有成功。任何建议都将非常感谢,以下是我的代码:
<?php
session_start(); //Lets start a session! This is the index page
$_SESSION["access"] = "My_session";
//We need a header right, well here it is?
define ("TITLE", "Product
浏览 0提问于2013-07-13得票数 0
我尝试在插入帖子时使用date函数插入日期。
提交表单时,我会收到以下消息:
Column count doesn't match value count at row 1
SQL行的顺序是正确的,日期行是最后一行。
下面是函数调用内容:
function add_content($p){
$title = mysql_real_escape_string($p['title']);
$body = mysql_real_escape_string($p['body']);
$p['time'] = da
浏览 0提问于2011-08-24得票数 1
回答已采纳
我用jQuery手机和php做了一个登录脚本。php文件设置一个,创建一个会话,并设置$_ session‘’myusername‘。我可以从loggedin.html页面的会话变量中检索用户名吗?还是必须在登录页面上执行“var myusername =data.username;”,然后以某种方式将这个变量传递给loggedin.html页面。
<?php
header('Access-Control-Allow-Origin: *');
header('Content-type: application/json');
$host="loc
浏览 0提问于2012-07-27得票数 2
回答已采纳
我有以下php / sql请求:
它已成功连接并成功运行update (返回成功消息),但在phpMyAdmin中,数据库尚未更新。我做错了什么?
<?php
{ // Connect and Test MySQL and specific DB (return $dbSuccess = T/F)
$hostname = "localhost";
$username = "root";
$password = "";
浏览 1提问于2011-08-03得票数 0
回答已采纳
SQL语句执行时间数据(例如performance_schema.events_statements_history_long;有用的MySQL链接)允许用户在表中捕获MySQL语句执行时间数据。
我想知道在PostgreSQL中是否存在类似的工具集?(DB管理不是很有帮助)
浏览 3提问于2013-09-16得票数 1
我尝试对从数据库中检索到的一些数据进行排序
首先,用户将从选择选项菜单中选择要显示哪个国家的数据
之后,下一页将使用排序asc/desc函数显示表中的特定数据
这是我的代码
首页test.html
<form action="showDB1.php" method="post">
<table border="0">
<tr>
<th colspan="3">test</th>
</tr>
<tr>
<td>Select
浏览 0提问于2013-04-30得票数 0
回答已采纳
我有一些代码可以将用户的搜索单词转换为MySQL查询:
String sql = String.format("SELECT * FROM my_table WHERE my_column = '%s'", value);
HibernateUtil.getCurrentSession().createSQLQuery(sql);
为了测试我是否受到保护--而且我认为以这种方式学习会很有趣--我想尝试一下SQL注入我自己的应用程序。所以我搜索:
x'; DROP TABLE test;--
这将导致以下查询:
SELECT * FROM my_table
浏览 6提问于2015-10-06得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
