php - 这个搜索系统是否容易受到 SQL 注入的影响?
问题描述
我创建了一个基于 PHP 和 SQLi 的搜索系统。这是非常基本的,并且可以像我发现的所有内容一样工作。我只有一个问题。一个非常卑鄙和愤怒的人 SQL 可以注入我的搜索系统。搜索通过 POST 中的 HTML 表单提交。
搜索系统代码
...
require 'includes/dbh.inc.php';
$search = $_POST['search'];
$mysqli = $conn;
$query = "SELECT * FROM listings WHERE listing_name LIKE '%".$search."%'";
echo '<b> <center class="listingstitle">Listings</center> </b> <br> <br>';
if ($result = $mysqli->query($query) and mysqli_num_rows($result) > 0) {
while ($row = $result->fetch_assoc()) {
$price = $row["listing_price"];
$name = $row["listing_name"];
$seller = $row["listing_seller"];
$picture = $row["listing_picture"];
...
解决方案
推荐阅读
- jquery - Multiple instance of jquery and sending value to php via ajax
- unit-testing - Can unit/integration tests have no assert? And what about this particular case?
- python - 没有使用 cx_Freeze 冻结模块 _cffi_
- scala - Scala pattern matching for tuple with options still needs unwrapping for the some case
- python - How to kill a Windows running exe with Python
- python - 为什么解析的标签名称不同?
- python - sqlite3.IntegrityError:UNIQUE 约束失败:即使我输入的值是唯一的,也会出错?
- macos - 将我的“站点”文件夹与 iCloud Drive 同步?
- vb.net - 循环根据开始日期和结束日期生成日期列表
- mysql - 进行第二次选择时无法输出结果