php - SQL中条件字段和表字段名相同，造成全表查询-PHP中文网问答

微信公众号讲师中心

首页

文章

后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程自媒体新闻

专题

后端开发 web前端数据库开发工具 php框架科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程新闻

AI工具

AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令

学习

大前端后端开发数据库移动端运维开发计算机基础

编程手册

大前端后端开发数据库移动端运维开发计算机基础

下载

js特效网站源码工具下载类库下载网站素材学习资源插件扩展手机/移动开发手机游戏

搜索

后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程

php - SQL中条件字段和表字段名相同，造成全表查询

巴扎黑 2017-04-11 09:58:31

[PHP讨论组]

351

各位大神好，在下是小菜鸟一枚，在实践中发现，类似如下的语句：

SELECT * FROM seller_item_classify where sid=$sid order by cweight asc ;

其中$sid为前端传过来的数值，seller_item_classify为表明，sid为表中的一个字段名；
如果$sid传过来的值正好是'sid'的时候，SQL的这个where就失效了，造成了全表查询；

因为在生产环境中，$sid的值可能是数值，可能是char；我应该在php里做对前端输入值的过滤？

请问各位是如何看这个问题？

巴扎黑

全部回复(7)

PHP中文网2017-04-11 10:00:31 7楼

"SELECT * FROM seller_item_classify where sid='$sid' order by cweight asc ;"

赞 +0

添加回复

怪我咯2017-04-11 10:00:31 6楼

SQL的条件值都加''

sid = '$sid'

赞 +0

添加回复

黄舟2017-04-11 10:00:31 5楼

对于前端输入值，后端必须过滤，建议使用sql预处理。

赞 +0

添加回复

PHPz2017-04-11 10:00:31 4楼

as 别名 好使吗？

赞 +0

添加回复

PHP中文网2017-04-11 10:00:31 3楼

加上单引号就解决了

赞 +0

添加回复

巴扎黑2017-04-11 10:00:31 2楼

'SELECT * FROM seller_item_classify where sid='.$sid.' order by cweight asc ;'
用pdo预处理吧

赞 +0

添加回复

PHPz2017-04-11 10:00:31 1楼

<?php
$sid = issset($_REQUEST['sid']) ?  htmlspecialchars(trim($_REQUEST['sid'])) : '';
if (!$sid or $sid=='sid') {
    // 非法请求 这里可以抛出一些异常
}

赞 +0

添加回复

专题推荐

更多>

热门话题

热门教程

更多>