php - 将数据保存到sql server时如何将符号'更改为`
问题描述
嗨,我有一个字段要填写全名,该字段只允许使用字母,签名 '(撇号),@
当我尝试使用 mysql 时,一切都很好,但是当我想将数据发送到另一个使用 sql server 的 Web 服务时.
问题是符号'(撇号)并给我错误,因为在sql脚本中,有像 Insert into table1 values ('','') 这样的脚本
那么如何在保存到数据库之前将符号'(撇号)替换为`(重音)
解决方案
您刚刚偶然发现了一个重要的安全漏洞:您的用户输入会影响您的 SQL 查询。很高兴看到您尝试为自己解决问题,但您的解决方案仍然存在问题:如果我向您的服务器发送带有全名的恶意请求,会发生什么Hans'; DELETE * FROM users --
?这种攻击称为“SQL 注入”,是对服务器最常见的攻击之一。
TL;DR:使用ALWAYS准备好的语句,您就可以保存
推荐阅读
- python - 使用返回值对数字进行平方
- python - QLineSeries 不能附加 QDateTime().toMsecsSincEpoch()
- flutter - 从像素列表视图颤动中的滚动位置获取滚动索引
- flutter - 想要部署我的颤振应用程序而不是旧的科尔多瓦应用程序,而不需要我的用户注销
- java - 如何将 ArrayList 保存到内部存储中
- plot - GNUplot:将x轴设置为数组值
- python - 当python配置相同时,为什么多处理在一台机器上工作而不在另一台机器上工作
- mysql - Docker MySQL 容器无法从 Node.js Express-GraphQL 服务器容器访问
- powershell - Powershell 选择字符串或正则表达式
- mongodb - 根据不同的条件更新/插入不同的数组字段