V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
grey5659
V2EX  ›  问与答

请问这个单双引号的问题怎么处理?懵逼了

  •  
  •   grey5659 · 2016-07-26 15:50:24 +08:00 · 2027 次点击
    这是一个创建于 3038 天前的主题,其中的信息可能已经有所发展或是发生改变。

    $current_account_url='查看 /打印 1'; 要怎么才可以把它插入表中的字段里呢?搞了好久都没办法。。谢谢了 $sql_url="update tools_current_account set current_account_url={$current_account_url} where Current_unit='$current_unit' and status=1 AND starttime='$starttime' and endtime='$endtime'";

    18 条回复    2016-07-27 09:53:26 +08:00
    qiayue
        1
    qiayue  
       2016-07-26 15:52:08 +08:00
    \'
    qiayue
        2
    qiayue  
       2016-07-26 15:52:54 +08:00
    另外千万不要自己拼接 sql 语句,否则的话,等着 sql 注入吧
    grey5659
        3
    grey5659  
    OP
       2016-07-26 15:58:27 +08:00
    @qiayue
    上面的错了,是这样的,麻烦看看怎么办。。。急。。先谢了。。
    http://i1.piimg.com/567571/9215d90f9ce56958.png
    jugelizi
        4
    jugelizi  
       2016-07-26 16:32:09 +08:00
    php 程序员?
    起码 s%吧
    qiayue
        5
    qiayue  
       2016-07-26 16:50:03 +08:00   ❤️ 2
    看了楼主的最近几个提问帖子,表示很为楼主公司担忧
    cxbig
        6
    cxbig  
       2016-07-26 17:03:02 +08:00
    为啥不用 PDO ?写这种东西代码审查能过么。。。
    xdazz
        7
    xdazz  
       2016-07-26 17:12:08 +08:00
    @cxbig 你以为写的出这样代码的程序员的公司会有代码审查吗?
    grey5659
        8
    grey5659  
    OP
       2016-07-26 18:30:17 +08:00 via Android
    真是无语, V2EX 就只有你们这些人在这里??我就学过一点基础,本身是做产品的,现在自己尝试做个小工具练练手,不想回答问题也没必要这么嘲讽吧,一个人如果自大目中无人我觉得绝对好不到哪里去,无论是人品还是技术上!
    shiny
        9
    shiny  
       2016-07-26 18:32:56 +08:00
    @grey5659 练手就更应该重视打基本功了。你自己玩玩最多就是危害你的服务器变成一台肉鸡,用于公司这样的代码会毁了公司的业务。
    既然是来求教,先摆正心态。
    grey5659
        10
    grey5659  
    OP
       2016-07-26 18:42:08 +08:00 via Android
    @shiny 本地服务器运行,仅仅是把数据做处理计算输出,减轻手工工作量,还有,我知道规范的重要性,但是就内部条件来说我就只有一些基础知识,外部条件又时间非常紧,他们怎么不看看实际情况再来秀优越感?
    qiayue
        11
    qiayue  
       2016-07-26 18:45:28 +08:00
    时间再紧都不是写不安全代码的理由
    shiny
        12
    shiny  
       2016-07-26 18:50:34 +08:00
    @grey5659 没有冒犯的意思,可能你没有在线上遇到过各种各样的攻击,一个几年工作经验的程序员经常需要因为初级程序员的 bug 带来额外的负担。比如你发的这个问题,要不是因为插不进单引号,就会成为隐患埋那里。
    这个行业干久了,也能理解嘲讽全开的原因。

    另外,发帖了就要有被喷的准备,网络暴力是可怕的;善用搜索,避免发帖。
    grey5659
        13
    grey5659  
    OP
       2016-07-26 18:59:10 +08:00 via Android
    @shiny 谢谢,我现在也不是程序员,仅仅是刚开始学习,另外下午测试了很久才来问的,已经在 sf 那边别人的提醒下解决了。
    loading
        14
    loading  
       2016-07-26 19:04:12 +08:00 via Android
    楼主,千万不要暴露你公司的信息,不然一定有人会去注入…
    grey5659
        15
    grey5659  
    OP
       2016-07-26 19:05:03 +08:00 via Android
    @loading localhost 运行怎么注入?
    loading
        16
    loading  
       2016-07-26 19:20:38 +08:00 via Android
    @grey5659 防注入其实并不难,为什么找理由逃避。

    用一个库也行啊。
    grey5659
        17
    grey5659  
    OP
       2016-07-26 19:22:47 +08:00 via Android
    @loading 谢谢,我一定会慢慢去了解的,现在能力还有限……
    xdazz
        18
    xdazz  
       2016-07-27 09:53:26 +08:00
    @grey5659 如有冒犯请见谅。看代码知道不是程序员写的。然后下面有人提公司提代码审查,所以说了这种代码不会有代码审查的这样的话,虽然是事实。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1905 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 16:30 · PVG 00:30 · LAX 08:30 · JFK 11:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.