V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2281 days ago, the information mentioned may be changed or developed.
最近在家里无聊,想用 PHP7 搭一个自己的小博客框架,写了一个简易的后台管理页面,主要控制博客名称和发帖时所需的用户名密码,出现了这种奇怪的问题:当替换值是 Peter's_Blog 时,并没有替换,但如果是其他值,则正常替换,百思不得其解,我录了个 GIF 供大家参考
有没有大佬知道原因的,求指点😭😭😭
这是部分代码
 |
1
yafoo Feb 1, 2020 via Android
图片没显示,直接贴代码吧
|
 |
2
Dreax Feb 1, 2020  1
不要拼接 sql
|
 |
3
loginv2 Feb 1, 2020 1
去掉单引号试试
|
 |
4
zjsxwc Feb 1, 2020 via Android 1
你直接拼 sql,然后你的名字包含了一个单引号,然后你不凉谁凉
|
 |
5
webshe11 Feb 1, 2020
SQL 注入漏洞了解一下?
|
 |
6
edk24 Feb 1, 2020 1
mysql:
Peter\'s_Blog sqlite: Peter''s_Blog 好像是这样的 |
 |
8
laravel Feb 1, 2020
我查看源代码,发现了图片
|
 |
9
yc8332 Feb 1, 2020
很明显 sql 没有进行参数过滤。估计是直接拼接的吧。。用 pdo 进行参数绑定
|
 |
10
wwcxjun Feb 1, 2020 via Android
需要转义字符串 可以用 mysqli_real_escape_string
|
 |
11
zsxeee Feb 2, 2020 via Android
mysqli_real_escape_string()
|
 |
12
ericgui Feb 2, 2020 via Android
上面的答案是对的
|
 |
13
soli Feb 2, 2020
我靠,你的名字。。。
难道是姓裴? |
 |
14
KINGOD Feb 2, 2020
我注入我自己😂
|
 |
15
wenyuyu Feb 19, 2020
查看源代码才看到图片哈哈哈,
|
 |
16
peterpei OP 感谢大家回复。。
🐶 |
Select Language