额....我的 PHP 好像不喜欢我的名字

2020-02-01 21:40:41 +08:00

peterpei

最近在家里无聊，想用 PHP7 搭一个自己的小博客框架，写了一个简易的后台管理页面，主要控制博客名称和发帖时所需的用户名密码，出现了这种奇怪的问题：当替换值是 Peter's_Blog 时，并没有替换，但如果是其他值，则正常替换，百思不得其解，我录了个 GIF 供大家参考

有没有大佬知道原因的，求指点😭😭😭

这是部分代码

6002 次点击

所在节点

PHP

17 条回复

yafoo

2020-02-01 21:52:28 +08:00

图片没显示，直接贴代码吧

Dreax

2020-02-01 21:53:39 +08:00

不要拼接 sql

loginv2

2020-02-01 21:54:58 +08:00

去掉单引号试试

zjsxwc

2020-02-01 21:56:32 +08:00

你直接拼 sql，然后你的名字包含了一个单引号，然后你不凉谁凉

webshe11

2020-02-01 22:01:57 +08:00

SQL 注入漏洞了解一下？

edk24

2020-02-01 22:58:36 +08:00

mysql:
Peter\'s_Blog

sqlite:
Peter''s_Blog

好像是这样的

charlie21

2020-02-01 23:24:16 +08:00

@Dreax 那用什么，orm ？

laravel

2020-02-01 23:31:52 +08:00

我查看源代码，发现了图片

yc8332

2020-02-01 23:38:02 +08:00

很明显 sql 没有进行参数过滤。估计是直接拼接的吧。。用 pdo 进行参数绑定

wwcxjun

2020-02-01 23:43:43 +08:00

需要转义字符串可以用 mysqli_real_escape_string

zsxeee

2020-02-02 03:44:24 +08:00

mysqli_real_escape_string()

ericgui

2020-02-02 09:46:07 +08:00

上面的答案是对的

soli

2020-02-02 11:14:13 +08:00

我靠，你的名字。。。
难道是姓裴？

KINGOD

2020-02-02 11:28:52 +08:00

我注入我自己😂

wenyuyu

2020-02-19 15:16:19 +08:00

查看源代码才看到图片哈哈哈，

peterpei

2020-02-25 14:46:59 +08:00

感谢大家回复。。
🐶

peterpei

2020-02-25 14:47:14 +08:00

@soli 对啊，咋啦🐶

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/641497

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.