V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
peterpei
V2EX  ›  PHP

额....我的 PHP 好像不喜欢我的名字

  •  
  •   peterpei · 2020-02-01 21:40:41 +08:00 · 6113 次点击
    这是一个创建于 1758 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近在家里无聊,想用 PHP7 搭一个自己的小博客框架,写了一个简易的后台管理页面,主要控制博客名称和发帖时所需的用户名密码,出现了这种奇怪的问题:当替换值是 Peter's_Blog 时,并没有替换,但如果是其他值,则正常替换,百思不得其解,我录了个 GIF 供大家参考

    有没有大佬知道原因的,求指点😭😭😭

    这是部分代码

    17 条回复    2020-02-25 14:47:14 +08:00
    yafoo
        1
    yafoo  
       2020-02-01 21:52:28 +08:00 via Android
    图片没显示,直接贴代码吧
    Dreax
        2
    Dreax  
       2020-02-01 21:53:39 +08:00   ❤️ 1
    不要拼接 sql
    loginv2
        3
    loginv2  
       2020-02-01 21:54:58 +08:00   ❤️ 1
    去掉单引号试试
    zjsxwc
        4
    zjsxwc  
       2020-02-01 21:56:32 +08:00 via Android   ❤️ 1
    你直接拼 sql,然后你的名字包含了一个单引号,然后你不凉谁凉
    webshe11
        5
    webshe11  
       2020-02-01 22:01:57 +08:00
    SQL 注入漏洞了解一下?
    edk24
        6
    edk24  
       2020-02-01 22:58:36 +08:00   ❤️ 1
    mysql:
    Peter\'s_Blog

    sqlite:
    Peter''s_Blog

    好像是这样的
    charlie21
        7
    charlie21  
       2020-02-01 23:24:16 +08:00 via iPhone
    @Dreax 那用什么,orm ?
    laravel
        8
    laravel  
       2020-02-01 23:31:52 +08:00
    我查看源代码,发现了图片
    yc8332
        9
    yc8332  
       2020-02-01 23:38:02 +08:00
    很明显 sql 没有进行参数过滤。估计是直接拼接的吧。。用 pdo 进行参数绑定
    wwcxjun
        10
    wwcxjun  
       2020-02-01 23:43:43 +08:00 via Android
    需要转义字符串 可以用 mysqli_real_escape_string
    zsxeee
        11
    zsxeee  
       2020-02-02 03:44:24 +08:00 via Android
    mysqli_real_escape_string()
    ericgui
        12
    ericgui  
       2020-02-02 09:46:07 +08:00 via Android
    上面的答案是对的
    soli
        13
    soli  
       2020-02-02 11:14:13 +08:00
    我靠,你的名字。。。
    难道是姓裴?
    KINGOD
        14
    KINGOD  
       2020-02-02 11:28:52 +08:00
    我注入我自己😂
    wenyuyu
        15
    wenyuyu  
       2020-02-19 15:16:19 +08:00
    查看源代码才看到图片哈哈哈,
    peterpei
        16
    peterpei  
    OP
       2020-02-25 14:46:59 +08:00 via Android
    感谢大家回复。。
    🐶
    peterpei
        17
    peterpei  
    OP
       2020-02-25 14:47:14 +08:00 via Android
    @soli 对啊,咋啦🐶
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6075 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 06:18 · PVG 14:18 · LAX 22:18 · JFK 01:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.