-1
您好我有以下查询使用CONCAT:如何在更新查询
$sql = "update zzz_users set password = "'".$encrypted."' where username = '".$email."'";
CustomQuery($sql);
而我只是不能得到CONCAT正确的,可能有人请告诉我该怎么办呢
Q
如何在更新查询
A
回答
0
正确的查询是:
$sql = "update zzz_users set password = '" . $encrypted . "' where username = '" . $email . "'";
-1
有一个"password =后太多。在将它写入数据库之前,应该先将字符串转义出来,否则可能会导致SQL注入问题。
$sql = "update zzz_users set password = '" .mysql_real_escape_string($encrypted). "' where username = '" .mysql_real_escape_string($email). "'";
CustomQuery($sql);
+1
Passowrd必须被散列,'_real_escape_string'不是正确的方法(它可能在这个var中被散列,我们不知道)。 'Mysql'扩展名已被弃用。 – panther 2015-02-08 18:33:17
0
这里还有很多错误比没有获得连接权。
首先,如果你只是试图把变量到PHP中的字符串,可以考虑使用双引号,并直接把变量到字符串:
$sql = "UPDATE `zzz_users` SET `password` = $encrypted WHERE `username` = $email";
没有必要对所有的起点并在这种情况下停止串。
但是,由于SQL Injection attacks,你在这里做的事情是非常危险的。您应该肯定不是将变量直接放入您的SQL命令。
这样做的最好方法是使用知道如何接受格式化字符串并为您创建安全SQL的库。例如,像MeerkoDB会让你写这SQL说法是这样的:
DB::query("UPDATE `zzz_users` SET `password`=%s WHERE `username`=%s", $encrypted, $email);
这实际上是安全的,因为这将确保SQL是正确转义,防止SQL注入攻击。当然,你可以推出自己的逃跑游戏,但使用一个完善的图书馆(有许多免费/开源和商业/专有产品)几乎总是一个更好的主意。
+0
请阅读豹的回答和意见。 – VeeeneX 2015-02-08 19:02:16
相关问题
- 1. 如何更新查询
- 2. 如何更新Firebase查询?
- 3. 在更新查询
- 4. 如何在Access中使用子查询执行更新查询?
- 5. 如何使用子查询中删除/更新查询在MySQL
- 6. 如何在另一个查询MySQL上执行更新查询?
- 7. 更新查询
- 8. 更新查询
- 9. 从查询查询中更新查询
- 10. 如何更新另一个更新查询中的新表?
- 11. 在asp.net中更新查询
- 12. 在android中更新查询
- 13. 在wordpress中更新查询
- 14. 再次在更新查询
- 15. 在sql中更新查询
- 16. 如何更新FirebaseRecyclerAdapter的查询
- 17. 如何执行更新查询?
- 18. 如何使用JSONP查询更新?
- 19. 如何动态更新sql查询 - jquery
- 20. 如何运行更新查询?
- 21. 如何执行更新Hibernate查询
- 22. 如何优化此更新SQL查询
- 23. 更新如果存在查询
- 24. 如果别人在SQL更新查询
- 25. 更新子查询
- 26. 查询更新rowNum
- 27. SQL更新查询
- 28. SQL更新查询
- 29. SQL更新查询
- 30. 更新子查询
无法看到你在哪里使用concat? – Mihai 2015-02-08 18:25:57