额....我的 PHP 好像不喜欢我的名字

2020-02-01 21:40:41 +08:00
 peterpei

最近在家里无聊,想用 PHP7 搭一个自己的小博客框架,写了一个简易的后台管理页面,主要控制博客名称和发帖时所需的用户名密码,出现了这种奇怪的问题:当替换值是 Peter's_Blog 时,并没有替换,但如果是其他值,则正常替换,百思不得其解,我录了个 GIF 供大家参考

有没有大佬知道原因的,求指点😭😭😭

这是部分代码

6149 次点击
所在节点    PHP
17 条回复
yafoo
2020-02-01 21:52:28 +08:00
图片没显示,直接贴代码吧
Dreax
2020-02-01 21:53:39 +08:00
不要拼接 sql
loginv2
2020-02-01 21:54:58 +08:00
去掉单引号试试
zjsxwc
2020-02-01 21:56:32 +08:00
你直接拼 sql,然后你的名字包含了一个单引号,然后你不凉谁凉
webshe11
2020-02-01 22:01:57 +08:00
SQL 注入漏洞了解一下?
edk24
2020-02-01 22:58:36 +08:00
mysql:
Peter\'s_Blog

sqlite:
Peter''s_Blog

好像是这样的
charlie21
2020-02-01 23:24:16 +08:00
@Dreax 那用什么,orm ?
laravel
2020-02-01 23:31:52 +08:00
我查看源代码,发现了图片
yc8332
2020-02-01 23:38:02 +08:00
很明显 sql 没有进行参数过滤。估计是直接拼接的吧。。用 pdo 进行参数绑定
wwcxjun
2020-02-01 23:43:43 +08:00
需要转义字符串 可以用 mysqli_real_escape_string
zsxeee
2020-02-02 03:44:24 +08:00
mysqli_real_escape_string()
ericgui
2020-02-02 09:46:07 +08:00
上面的答案是对的
soli
2020-02-02 11:14:13 +08:00
我靠,你的名字。。。
难道是姓裴?
KINGOD
2020-02-02 11:28:52 +08:00
我注入我自己😂
wenyuyu
2020-02-19 15:16:19 +08:00
查看源代码才看到图片哈哈哈,
peterpei
2020-02-25 14:46:59 +08:00
感谢大家回复。。
🐶
peterpei
2020-02-25 14:47:14 +08:00
@soli 对啊,咋啦🐶

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/641497

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX