Question

我收到了一个MySQL查询我试图运行，我只是无法解决问题。

$sql="INSERT INTO ratings (epoch, ip, step, maxstep, threadid) VALUES
('."shell_exec(date             +%s.)".','.mysql_real_escape_string(inet_pton($_COOKIE[".id."])).','.$page.', '.$pagedecode[".numpages."].', '.$ourid.')'";

我知道它真的很糟糕:( 解析错误：语法错误，意外＆＃39;＆＃34;＆＃39;，期待T_STRING或T_VARIABLE或T_NUM_STRING

由于杰米

Answer 1

$sql = "INSERT INTO ratings (epoch, ip, step, maxstep, threadid) VALUES ('" . shell_exec(date +%s.) . "','" . mysql_real_escape_string(inet_pton($_COOKIE[id])). "','" . $page . "','".$pagedecode[numpages]."', '".$ourid."')'";

但查询容易被SQL Injection攻击。请阅读以下文章，了解如何防止itp>

How can I prevent SQL injection in PHP?

如何在PHP中修复此SQL查询

1 个答案: