设为首页
收藏本站
Archiver
用户
登录
入住
用户名
Email
自动登录
找回密码
密码
登录
入住 CI 中国社区
首页
返回 CodeIgniter 中国首页
论坛
BBS
导读
Guide
个人主页
Space
中文手册
搜索
CodeIgniter 搜索引擎
视频教程
案例
任务
搜索
搜索
本版
帖子
用户
设为首页
收藏本站
Archiver
开启辅助访问
切换到宽版
日志
相册
分享
记录
CodeIgniter4
CodeIgniter3
CodeIgniter2
帖子
好友
道具
勋章
收藏
任务
记录
留言板
设置
我的收藏
退出
腾讯QQ
微信登录
CodeIgniter 中国开发者社区
»
论坛
›
CodeIgniter 开发
›
CodeIgniter 问答求助
›
codeigniter数据检索的严重安全问题
返回列表
查看:
2682
|
回复:
4
[已解决]
codeigniter数据检索的严重安全问题
[复制链接]
2622604636
2622604636
当前离线
积分
59
IP卡
狗仔卡
发表于 2011-12-7 13:10:44
|
显示全部楼层
|
阅读模式
我发现一个现象
id:主键、自增类型、无符号
$this->db->select('*')->where('id',$user_id);
存在一个id:155
但是,如果输入155a 或 155b 甚至155asdfasfd
都可以检索出155的数据
谁能解释这个现象
安全
,
where
相关帖子
•
这样写存在sql注入风险吗
•
很是郁闷,Fatal error: Call to undefined method CI_DB_mysql_driver::where()
•
请问关于防止sql注入,是不是$this->db->where ( ‘titile’, $valu...
•
怎么$this->db-xx 实现 where a > x 这种查询呢?
•
有没有简单的自带函数能组成sql语句的where in那个条件呢
•
CI where多重条件查询
•
数据库的查询
•
update_batch 当where参数有多个怎么办
•
关于CI自定义表单验证
•
关于CI自定义表单验证(二)
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
zhouli520
zhouli520
当前离线
积分
818
IP卡
狗仔卡
发表于 2011-12-7 13:44:00
|
显示全部楼层
你echo last_query()
可以看到where 条件是 id='$user_id' 这里条件后面所以值都加了引号的,所以在sql语句那认定是字符串形式了,mysql查询的是模糊匹配,如果你手动写sql语句 id=$user_id那么就不会有这个问题了.
回复
支持
反对
使用道具
举报
显身卡
2622604636
2622604636
当前离线
积分
59
IP卡
狗仔卡
楼主
|
发表于 2011-12-7 14:44:06
|
显示全部楼层
非常感谢
回复
支持
反对
使用道具
举报
显身卡
hansonfox
hansonfox
当前离线
积分
241
IP卡
狗仔卡
发表于 2011-12-7 20:37:58
|
显示全部楼层
啊~ 学习了
回复
支持
反对
使用道具
举报
显身卡
justdoit
justdoit
当前离线
积分
575
IP卡
狗仔卡
发表于 2012-3-21 23:00:14
|
显示全部楼层
不错,又学了点知识。
回复
支持
反对
使用道具
举报
显身卡
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
入住 CI 中国社区
本版积分规则
发表回复
回帖后跳转到最后一页
IP卡
狗仔卡
发表于 2011-12-7 13:10:44
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主