PTT數位生活區 / PHP

Re: [請益] 網頁間傳遞資料失敗。

看板PHP作者 (別急著吃棉花糖)時間12年前 (2013/06/05 11:24), 編輯推噓2(208)
留言10則, 4人參與, 最新討論串3/3 (看更多)
受這個版上前輩幫忙很多 也來幫忙回覆一下 傳遞資料code <?php echo "<a href='whatever.php?id=$row[name]'>"; ?> 接收 <?php $d="delete from hitter where name='$_GET[id]'"; ?> 測試過已ok,參考一下 ※ 引述《nature23306 (諺仔)》之銘言: : 這是傳遞資料的code : <a href="whatever.php?id=$row[name]"> : ------------------------- : 這是接受get的code : $d ="DELETE FROM hitter WHERE name=$_GET[id]"; : 不過執行完後 : 一直出現die的錯誤 : 請求各位了 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.11.170.22
06/05 12:47, , 1F
SQL injection...
06/05 12:47, 1F
06/05 12:57, , 2F
我知道要用$_POST來傳會較好,只是純粹配合原PO他要的
06/05 12:57, 2F
06/05 12:58, , 3F
~"~ 不是POST和GET的問題
06/05 12:58, 3F
06/05 13:00, , 4F
如果傳進來的字串是 ' or ''='
06/05 13:00, 4F
06/05 13:01, , 5F
這樣整段sql就變成 delete from hitter where name=''
06/05 13:01, 5F
06/05 13:02, , 6F
or ''='' 後面這段邏輯對所有值都成立 然後這個table
06/05 13:02, 6F
06/05 13:02, , 7F
寫網頁程式的鐵則"不要相信User傳來的任何資料"
06/05 13:02, 7F
06/05 13:02, , 8F
就會被清空了
06/05 13:02, 8F
06/05 13:03, , 9F
在你確認這個資料是安全之前,"絕對不要" 把他當成SQL查詢
06/05 13:03, 9F
06/05 13:07, , 10F
現在處理值一定要用prepare parameters~
06/05 13:07, 10F
更多 stator 的文章
文章代碼(AID): #1Hhg-B3M (PHP)
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 3 之 3 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共3篇)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 stator 的文章
文章代碼(AID): #1Hhg-B3M (PHP)