设为首页
收藏本站
Archiver
用户
登录
入住
用户名
Email
自动登录
找回密码
密码
登录
入住 CI 中国社区
首页
返回 CodeIgniter 中国首页
论坛
BBS
导读
Guide
个人主页
Space
中文手册
搜索
CodeIgniter 搜索引擎
视频教程
案例
任务
搜索
搜索
本版
帖子
用户
设为首页
收藏本站
Archiver
开启辅助访问
切换到宽版
日志
相册
分享
记录
CodeIgniter4
CodeIgniter3
CodeIgniter2
帖子
好友
道具
勋章
收藏
任务
记录
留言板
设置
我的收藏
退出
腾讯QQ
微信登录
CodeIgniter 中国开发者社区
»
论坛
›
CodeIgniter 开发
›
CodeIgniter 问答求助
›
请问关于防止sql注入,是不是$this->db->where ( ‘titi ...
返回列表
查看:
2719
|
回复:
1
请问关于防止sql注入,是不是$this->db->where ( ‘titile’, $valu...
[复制链接]
xjdata
xjdata
当前离线
积分
257
IP卡
狗仔卡
发表于 2013-9-28 20:37:23
|
显示全部楼层
|
阅读模式
PHP
复制代码
$this
->
db
->
where
(
‘titile’
,
$value
)
;
$this
->
db
->
where
(
‘titile’
,
$this
->
db
->
escape
(
$value
)
)
;
$this
->
db
->
where
(
‘titile’
,
$this
->
db
->
escape_like_str
(
$value
)
)
;
复制代码
看手册有这三种。先不说其他广义的防注入。 只是用来 拒绝用户输入的
1' or 1=1
之类的方式。
我看手册有这么一句
Active Record的查询都已被自动保护
。
我想请问。 是不是
Active Record
在保护表明字段名的时候。 已经进行了查询条件的转义呢?
在请问。 如果我现在就在 AR的查询数据中。
这三条是否一样?
是否可以理解为,当程序不使用AR的数据操作时, 对查询条件使用 escape、escape_like_str 进行一种防注入保护?
我实际测试了下, 发现
Active Record
的情况下。确实是我说的。但是我想请熟悉的朋友 给一个准确的答复。谢谢~
escape
,
where
相关帖子
•
请问这个查询如何优化
•
CodeIgniter如何生成这样的sql语句
•
这样写存在sql注入风险吗
•
如何使CI转义'%'
•
很是郁闷,Fatal error: Call to undefined method CI_DB_mysql_driver::where()
•
怎么$this->db-xx 实现 where a > x 这种查询呢?
•
有没有简单的自带函数能组成sql语句的where in那个条件呢
•
CI where多重条件查询
•
数据库的查询
•
update_batch 当where参数有多个怎么办
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
loadinger
loadinger
当前离线
积分
617
IP卡
狗仔卡
发表于 2013-10-9 10:56:35
|
显示全部楼层
ar是安全的。但是没有跨站攻击检测。非ar得手动过滤。其实自己试一试。什么都看出来了..
回复
支持
反对
使用道具
举报
显身卡
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
入住 CI 中国社区
本版积分规则
发表回复
回帖后跳转到最后一页