平方X

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 4258|回复: 1

[php] discuz sql注入

[复制链接]

414

主题

709

帖子

3657

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3657
QQ
发表于 2016-6-29 18:31:21 | 显示全部楼层 |阅读模式
用DB
测试的时候发现,

  1.         public static function fetch_all($sql, $arg = array(), $keyfield = '', $silent=false)
复制代码
如果自己拼接sql,是直接执行的。
如果用参数,%s会加上单引号'%s',%d的话会转换成数字

我是平方X~
回复

使用道具 举报

414

主题

709

帖子

3657

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3657
QQ
 楼主| 发表于 2016-6-29 19:50:33 | 显示全部楼层
DB中fetch是没有转换table的。
update等会动为table加上前辍。
我是平方X~
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|Archiver|平方X ( 冀ICP备14018164号 )

GMT+8, 2024-11-23 16:13 , Processed in 0.096615 second(s), 26 queries .

技术支持:Powered by Discuz!X3.4  © 2001-2013 Comsenz Inc.

版权所有:Copyright © 2014-2018 平方X www.pingfangx.com All rights reserved.

快速回复 返回顶部 返回列表