逃離mysql沒有單引號？

2012-02-26 68 views 0 likes

在Codeigniter/PHP中，我無法在下面的SQL語句中轉義$ table的實例。逃離mysql沒有單引號？

當我嘗試任何方法，如在查詢結束時使用的方法，他們不工作，因爲單引號。

在這種情況下，是否有任何方法或更改可以推薦？

在此先感謝您的幫助。

MYSQL聲明：

$sql = "SELECT * FROM $table INNER JOIN resumes ON resumes.resume_id = $table.resume_id AND resumes.user_id = ".$this->db->escape($user_id)." AND $table.$field = ?";

來源

2012-02-26 jsuissa

從哪裏得到'$ table'變量？ – zerkms 2012-02-26 23:13:19

什麼是建立的字符串？ – user544262772 2012-02-26 23:14:57

@zerkms，$ table變量來自控制器，而不是用戶輸入，不知道這是否使問題有點不相關？ – jsuissa 2012-02-26 23:17:52

回答

你應該從未接受表名或列名作爲用戶輸入。

，但如果你沒有其他的選擇 - 唯一的辦法就是白名單

因此，您創建的所有允許的表名數組用於像

$valid_tables = array('t1', 'table2');

，然後檢查該陣列中存在$table：

if (in_array($table, $valid_tables)) { 
    // everything is fine 
} else { 
    // something is wrong 
}

來源

2012-02-26 23:14:00 zerkms

謝謝 - 在這種情況下，它來自可信賴的來源，但作爲一般性你回答是非常有幫助的。再次感謝。 – jsuissa 2012-02-26 23:28:33

相關問題

1. 逃離引號的Java庫
2. mysql_real_escape_string逃逸單引號到MySQL入門
3. addslashes的只有逃避簡單引號
4. 逃逸單引號Ansible 2.1
5. 單引號逃逸參數
6. 逃離preg_replace的+號
7. PHP - 逃離長破折號
8. 逃離 - （雙破折號）
9. 逃逸單引號在SQL Server
10. 逃逸'（單引號/ aprostrophe）不工作
11. 逃生的即席查詢單引號
12. 的ColdFusion/JavaScript的逃逸單引號
13. 和addslashes /逃避單引號在.NET
14. 單引號逃逸 - sequelize遷移
15. 如何逃生動態SQL單引號
16. （IOS）逃逸單引號在XML
17. 逃離大括號的花括號
18. 在JavaScript字符串逃逸單引號和雙引號
19. 逃逸單引號和雙引號，而使用PHP
20. ansible外殼逃逸單引號和雙引號
21. 如何逃脫具有多雙引號
22. PUT/POST雙引號沒有逃逸到外部服務器
23. 「逃離」 $
24. 逃逸引號不工作
25. shlex：Python中逃脫引號3
26. [R sqldf逃脫雙引號
27. 不要逃避雙引號
28. 的Linux - 逃生雙引號
29. visual foxpro逃脫雙引號
30. 如何gsub逃脫引號