用户
 找回密码
 入住 CI 中国社区
搜索
查看: 1127|回复: 4
收起左侧

[讨论/交流] 来帮我看看这个代码 是否存在sql注入

[复制链接]
发表于 2014-5-23 13:15:02 | 显示全部楼层 |阅读模式
来帮我看看这个代码 是否存在sql注入 并且如何防范 谢谢大家
PHP复制代码
//获得该艺人是否被登录人关注过
 public function get_is_attent($login_userid,$userid)
 {
  $sql = "SELECT COUNT(*) as isattent
  FROM fav fv
  WHERE 1
  AND fv.showernumber = '$userid'
  AND fv.userid='$login_userid'
  "
;
   //return $this->db->query($sql)->row_array();
  var_dump($sql);
}
 
复制代码

发表于 2014-5-24 12:00:44 | 显示全部楼层
有,直接把变量放到语句 里都有危险,要用 他的类方法比较安全
发表于 2014-5-26 09:59:40 | 显示全部楼层
public function get_is_attent($login_userid,$userid)
{
//--------------------------如果两个都是int类型,加上
$login_userid=intval($login_userid);
$userid=intval($userid);



  $sql = "SELECT COUNT(*) as isattent
  FROM fav fv
  WHERE 1
  AND fv.showernumber = '$userid'
  AND fv.userid='$login_userid'
  ";
   //return $this->db->query($sql)->row_array();
  var_dump($sql);
}
发表于 2014-5-30 17:00:14 | 显示全部楼层
同意楼上的,如果是字符串 则 addslashes()
发表于 2014-6-3 11:07:55 | 显示全部楼层
恩 对于这个 mysql_real_escape_string来进行sql 安全转义。

本版积分规则