推 TonyQ:用client傳sql有安全性的問題 你確定你要這樣作? 02/15 21:45
→ TonyQ:另外 這是server的問題 你server 應該有作另外的處理。 02/15 21:46
→ TonyQ:是不是有call到 addslashes 之類的你自己沒發現? 02/15 21:47
了解了~我改從SERVER端產出SQL命令好了+_+
※ 編輯: UniFish 來自: 114.33.192.74 (02/15 21:50)
我是要在前端作判斷,然後把SQL的命令傳到SERVER去作查詢
我的變數內容是:
sqlcmd: 'SELECT a.typename,b.* FROM type AS a,item AS b WHERE
(b.id LIKE "B3%" AND a.type=b.type) ORDER BY type,arr ASC'
但傳到server後echo出來發現是:
SELECT a.typename,b.* FROM type AS a,item AS b WHERE
(b.id LIKE \"B3%\" AND a.type=b.type) ORDER BY type,arr ASC
這個字元「"」,不管我怎麼弄,傳過去都會自動加一個「\」
然後造成SQL無法查詢~
當然我可以改成在SERVER端去判斷和產生SQL命令~
但我想知道這該怎麼解決??
--
◣◥ ◤◢ ◣▁◢ 請‧尊‧重‧生‧命
◤ ◢◤ ‧‧▏ ◥ ◤ 以 認 養 代 替 購 買
◤◢ ▄▄▄▄ ‧‧
◢◤ 請領養我 ▄ ▄ 以 絕 育 代 替 撲 殺
◤◢ 請領養我▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
Blog:http://Unifish.Pixnet.net/ 本BLOG謝絕挖隱私魔人 QSWEET
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.33.192.74