微信公众号 讲师中心
首页
文章
web3.0 后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 JavaScript 后端开发 数据库 移动端 运维开发 UI设计 计算机基础 XML Web Services
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
最近更新
搜索
web3.0 后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程
游戏教程 自媒体 新闻
首页 > 后端开发 > php教程 > 正文

SQL中条件字段和表字段名相同,造成全表查询

php中文网
发布: 2016-08-18 09:15:29
原创
1657人浏览过

各位大神好,在下是小菜鸟一枚,在实践中发现,类似如下的语句:

<code>SELECT * FROM seller_item_classify where sid=$sid order by cweight asc ;
</code>
登录后复制

其中$sid为前端传过来的数值,seller_item_classify为表明,sid为表中的一个字段名;
如果$sid传过来的值正好是'sid'的时候,SQL的这个where就失效了,造成了全表查询;

因为在生产环境中,$sid的值可能是数值,可能是char;我应该在php里做对前端输入值的过滤?

请问各位是如何看这个问题?

爱图表
爱图表

AI驱动的智能化图表创作平台

爱图表99
查看详情 爱图表

回复内容:

各位大神好,在下是小菜鸟一枚,在实践中发现,类似如下的语句:

<code>SELECT * FROM seller_item_classify where sid=$sid order by cweight asc ;
</code>
登录后复制

其中$sid为前端传过来的数值,seller_item_classify为表明,sid为表中的一个字段名;
如果$sid传过来的值正好是'sid'的时候,SQL的这个where就失效了,造成了全表查询;

因为在生产环境中,$sid的值可能是数值,可能是char;我应该在php里做对前端输入值的过滤?

请问各位是如何看这个问题?

<code>"SELECT * FROM seller_item_classify where sid='$sid' order by cweight asc ;"</code>
登录后复制

对于前端输入值,后端必须过滤,建议使用sql预处理。

SQL的条件值都加''

<code>sid = '$sid'</code>
登录后复制

as 别名 好使吗?

加上单引号就解决了

'SELECT * FROM seller_item_classify where sid='.$sid.' order by cweight asc ;'
用pdo预处理吧

<code><?php
$sid = issset($_REQUEST['sid']) ?  htmlspecialchars(trim($_REQUEST['sid'])) : '';
if (!$sid or $sid=='sid') {
    // 非法请求 这里可以抛出一些异常
}</code>
登录后复制

相关标签:
mysql php sql语句 sql注入

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:php7 安装扩展 phpize 没有生成configure文件 下一篇:javascript - 为什么chrome控制台network 请求之前有延迟?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
php echo怎么用_PHP echo语句输出内容与变量方法 答案:使用echo可输出字符串、变量、HTML及混合数据。例如echo"HelloWorld";输出变量如echo$name;用.拼接字符串如"用户名:".$username;支持多类型逗号分隔输出如echo100,"元",$discount。
2025-11-02 13:55:34
441
PHP接口怎么开发_PHP接口开发流程及最佳实践分享。 首先明确PHP接口开发需定义需求、配置环境、验证身份、处理数据并标准化响应。具体包括:确定接口功能与参数,使用JSON格式和RESTful命名;搭建Web环境,设置index.php为入口并通过.htaccess重写路由;采用JWTToken进行身份验证,在请求头中传递并校验;通过PDO预处理语句操作数据库,防止SQL注入,确保事务完整;最后统一返回{"code":,"msg":,"data":}结构,设置正确Content-Type并过滤敏感信息。
2025-11-02 13:45:02
760
PHP截取中间字符_字符串中间部分提取方法 使用strpos和substr组合可提取字符串中间内容,先定位起始与结束位置,再截取目标区域。例如从“开始:这里是中间内容,结束:完成”中提取“这里是中间内容”。可封装为getBetween函数实现复用,如提取“用户名:张三,年龄:25”中的“张三”。结构复杂时推荐使用正则preg_match,通过非贪婪匹配精准提取动态内容。根据场景选择方法:简单结构用strpos+substr,复杂模式用正则,频繁操作建议封装函数。
2025-11-02 13:24:02
474
php面向对象怎么用_PHP面向对象编程(OOP)使用方法教程 定义类和对象:使用class关键字创建类,通过new实例化对象;2.构造函数:用__construct()初始化属性;3.继承:通过extends复用父类方法;4.封装:用private/protected限制访问,提供getter/setter;5.静态成员:用static定义类级别的属性和方法;6.魔术方法:如__toString、__get、__set增强对象操作灵活性。
2025-11-02 13:21:02
595
如何将SQL查询结果转换为带有类型和表头的PHP数组以供图表使用 本文详细介绍了如何将SQL查询结果高效地转换为特定结构的PHP数组,特别关注于在数据提取过程中进行类型转换(如将金额转换为浮点数,类别转换为字符串)并动态生成数组表头。通过优化数据处理逻辑,可以直接生成满足前端图表库(如GoogleCharts)要求的二维数组,提升数据处理的简洁性和准确性。
2025-11-02 13:09:32
398
PHP中基于ID精确更新数据库数组数据的实践指南 本教程探讨了在PHP中如何高效且精确地更新数据库中存储为数组的数据。针对传统方法可能导致批量更新而非单条记录更新的问题,我们提出并演示了通过在更新逻辑中引入每条记录的唯一ID,从而实现对数据库中特定行的精准修改。文章提供了详细的代码示例和最佳实践建议,以确保数据更新的准确性和安全性。
2025-11-02 13:08:14
177
优化 jQuery 表单提交:避免重复 AJAX 请求的策略 本文深入探讨了在jQuery应用中,由于事件处理程序重复绑定导致的表单重复提交和AJAX请求问题。通过分析将submit事件处理程序错误地嵌套在click事件处理程序内部的常见误区,文章提供了清晰的解决方案:将表单提交逻辑独立绑定,确保其仅在DOM加载时执行一次。此方法有效避免了不必要的多次数据发送,提升了应用性能和数据准确性。
2025-11-02 13:06:42
147
自动化重排MariaDB排序字段并更新值 本文详细介绍了如何在MariaDB中自动化重排并更新排序字段(sortorder)的值,以保持数据现有逻辑顺序的同时,重新均匀化排序值。通过SQL查询利用会话变量生成新的序列号,并结合更新语句高效地完成这一任务。此外,文章还探讨了在应用层处理更复杂或用户驱动的排序更新场景,提供了事务性操作的建议,确保数据一致性和完整性。
2025-11-02 13:04:31
437
PHP内存耗尽错误诊断与根源追踪:Xdebug与内存优化策略 当PHP应用遭遇“Allowedmemorysizeexhausted”致命错误,且错误信息指向框架内部文件而非实际执行脚本时,传统调试方法如debug_backtrace()往往难以定位真正的内存消耗源。本文将深入探讨如何利用Xdebug内存分析器精确追踪内存使用情况,并提供有效的内存限制调整策略,帮助开发者从根本上解决PHP内存耗尽问题,确保应用稳定运行。
2025-11-02 13:02:19
968
在 Eclipse 中禁用特定警告的教程 本文旨在帮助开发者在使用EclipseIDE进行PHP开发时,有效地禁用不必要的警告信息。通过使用@var注释,可以避免由于变量定义位置或使用方式引起的“变量未使用”和“变量未定义”警告,从而提高代码的可读性和开发效率。
2025-11-02 12:56:34
455
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习
PHP中文网抖音号
发现有趣的

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部