使用 input->get 没有防止注入是为什么？

fishgo1 · 发表于 2014-7-1 12:06:29

燃雲发表于 2014-7-1 11:42
跟

这只是一个列子

我用阿里云的服务器检测出来的SQL注入危险，那么我只是说这个参数接收的时候有没有办法过滤？因为我只需要接收一个ID，如果有多余的东西一起运行了SQL那不是会有危险吗？

loadinger · 发表于 2014-7-1 16:44:52

不知道咋办的时候，最好的办法还是跟代码 ...

fishgo1 · 发表于 2014-7-3 11:03:38

有自带的方法过滤吗？？

fishgo1 · 发表于 2014-7-4 14:54:31

还有过滤的方法么？？？

longjianghu · 发表于 2014-7-7 08:14:38

接受一个ID用（int)转换一下

fishgo1 · 发表于 2014-7-7 14:13:17

longjianghu 发表于 2014-7-7 08:14
接受一个ID用（int)转换一下

谢谢啊，如果是一个中英文混合的标记呢？如FJW82T01 这样的，有快速过滤方法吗？

前沿/wx网络 · 发表于 2014-7-8 10:50:34

你确定你用的AR?
不是用的$this->db->query()?
我试了一下，用$this->db->query()?
得到你的那个sql
用AR是

SQL复制代码

SELECT * FROM (`erp_news`) WHERE `id` = 'BSDYN412\' AND 5777=5777 AND \'NNxvf\'=\'NNxvf'

复制代码

		自动登录	找回密码
密码			入住 CI 中国社区

[已解决] 使用 input->get 没有防止注入是为什么？