php sql注入疑问

来源:蜘蛛抓取(WebSpider) 时间:2015-06-12 01:24 标签: php防止sql注入函数
QQ群微信公众号MySQL 查询疑问?
现在有一下三张表:
A:文章表B:评论表C:用户表
需要达到一下要求:
随机抽出三篇文章,要求输出内容中包括文章的发表用户,发表时间,文章标题,评论数量
文章标题,发表时间字段为:title,create_time,在文章表topic_list中,表中uid为public_user的id
发表用户,字段为nickname,在用户表public_user中
评论表为:topic_comment,其中tid为topic_list的id
需要用一个sql语句来完成,下面是我写出的,除了评论数量意外,都完成了:
select tl.id,tl.title,tl.create_time,pu.nickname from topic_list as tl left join public_user as pu on tl.uid=pu.id where tid=$tid order by rand() limit 3
想问下各位大神,怎么在这段sql的基础上,达到查询结果中有每篇文章的评论数量结果?
提问者4回答PHP中文网,永久免费,是PHP爱好者的学习圣地。select tl.id,tl.title,tl.create_time,pu.nickname,ment) from topic_list as t1
join public_user as pu on tl.uid=pu.id
join topic_comment as tb on t1.id = tb.tid
where tid=$tid order by rand() limit 3取消保存赞同00个回复未知生物你还没有登录,请先登录或注册php中文网帐号回复走同样的路,发现不同的人生为什么要基于一句sql?如果一句是为了少写代码,无可厚非;如果是一句为了性能,na那么这种 sql 既难维护、难理解而且也没有所谓的性能提升,极力推荐使用主键查询。很简单,先把文章随机出来,其他的表用索引或者主键会更快:`$rand = random(1, 100) / 100;$sql = 'SELECT
FROM table WHERE id &= (SELECT FLOOR( MAX(id)
'.$rand.') FROM table ) ORDER BY id LIMIT 1;';`取消保存赞同00个回复未知生物你还没有登录,请先登录或注册php中文网帐号回复连接评论表
根据文章id分组
计算条数就行了取消保存赞同00个回复未知生物你还没有登录,请先登录或注册php中文网帐号回复祸兮福所倚 福兮祸所伏不建议在SQL中rand,可以先random好id(不过你可能不知道id的范围=w=)
知道tid的情况下,可以用下面的SQL一句完成,你也可以按自己需要再修改~
SELECT `t`.`title`, `t`.`create_time`, `u`.`nickname`, COUNT(`c`.`id`)
FROM `topic_list` AS `t`
LEFT JOIN `public_user` AS `u` ON `t`.`uid`=`u`.`id`
LEFT JOIN `topic_comment` AS `c` ON `c`.`tid`=`t`.`id`
WHERE `t`.`id` IN ($tid1, $tid2, $tid3)
GROUP BY `t`.`id`;取消保存赞同00个回复未知生物你还没有登录,请先登录或注册php中文网帐号回复4 回答1 回答1 回答2 回答4 回答相关分类1人关注4 回答1 回答PHP中文网:独家原创,永久免费的在线,php技术学习阵地!Copyright
All Rights Reserved | 皖B2-QQ群:关注微信公众号PHP开发者常犯的10个MySQL错误 - 文章 - 伯乐在线
& PHP开发者常犯的10个MySQL错误
数据库是WEB大多数应用开发的基础。如果你是用PHP,那么大多数据库用的是MYSQL也是LAMP架构的重要部分。
PHP看起来很简单,一个初学者也可以几个小时内就能开始写函数了。但是建立一个稳定、可靠的数据库确需要时间和经验。下面就是一些这样的经验,不仅仅是MYSQL,其他数据库也一样可以参考。
1、使用MyISAM而不是InnoDB
MySQL有很多的数据库引擎,单一般也就用MyISAM和InnoDB。
MyISAM是默认使用的。但是除非你是建立一个非常简单的数据库或者只是实验性的,那么到大多数时候这个选择是错误的。MyISAM不支持外键的约束,这是保证数据完整性的精华所在啊。另外,MyISAM会在添加或者更新数据的时候将整个表锁住,这在以后的扩展性能上会有很大的问题。
解决办法很简单:使用InnoDB。
2、使用PHP的mysql方法
PHP从一开始就提供了MySQL的函数库。很多程序都依赖于mysql_connect、mysql_query、mysql_fetch_assoc等等,但是PHP手册中建议:
如果你使用的MySQL版本在4.1.3之后,那么强烈建议使用mysqli扩展。
mysqli,或者说MySQL的高级扩展,有一些优点:
有面向对象的接口
prepared statements(预处理语句,可以有效防止SQL-注入攻击,还能提高性能)
支持多种语句和事务
另外,如果你想支持多数据库那么应该考虑一下PDO。
3、不过滤用户输入
应该是:永远别相信用户的输入。用后端的PHP来校验过滤每一条输入的信息,不要相信JAVAscript。像下面这样的SQL语句很容易就会被攻击:
$username = $_POST["name"];
$password = $_POST["password"];
$sql = "SELECT userid FROM usertable WHERE username='$username'AND password='$password';"; // run query...
$username = $_POST["name"]; $password = $_POST["password"]; $sql = "SELECT userid FROM usertable WHERE username='$username'AND password='$password';"; // run query...
这样的代码,如果用户输入”admin’;”那么,就相当于下面这条了:
SELECT userid FROM usertable WHERE username='admin';
SELECT userid FROM usertable WHERE username='admin';
这样入侵者就能不输入密码,就通过admin身份登录了。
4、不使用UTF-8
那些英美国家的用户,很少考虑语言的问题,这样就造成很多产品就不能在其他地方通用。还有一些GBK编码的,也会有很多的麻烦。
UTF-8解决了很多国际化的问题。虽然PHP6才能比较完美的解决这个问题,但是也不妨碍你将MySQL的字符集设置为UTF-8。
5、该用SQL的地方使用PHP
如果你刚接触MySQL,有时候解决问题的时候可能会先考虑使用你熟悉的语言来解决。这样就可能造成一些浪费和性能比较差的情况。比如:计算平均值的时候不适用MySQL原生的AVG()方法,而是用PHP将所有值循环一遍然后累加计算平均值。
另外还要注意SQL查询中的PHP循环。通常,在取得所有结果之后再用PHP来循环的效率更高。
一般在处理大量数据的时候使用强有力的数据库方法,更能提高效率。
6、不优化查询
99%的PHP性能问题都是数据库造成的,一条糟糕的SQL语句可能让你的整个程序都非常慢。MySQL的EXPLAIN statement,Query Profiler,many other tools的这些工具可以帮你找出那些调皮的SELECT。
7、使用错误的数据类型
MySQL提供一系列数字、字符串、时间等的数据类型。如果你想存储日期,那么就是用DATE或者DATETIME类型,使用整形或者字符串会让事情更加复杂。
有时候你想用自己定义的数据类型,例如,使用字符串存储序列化的PHP对象。数据库的添加可能很容易,但是这样的话,MySQL就会变得很笨重,而且以后可能导致一些问题。
8、在SELECT查询中使用*
不要使用*在表中返回所有的字段,这会非常的慢。你只需要取出你需要的数据字段。如果你需要取出所有的字段,那么可能你的表需要更改了。
9、索引不足或者过度索引
一般来说,应该索引出现在SELECT语句中WHERE后面所有的字段。
例如,假如我们的用户表有一个数字的ID(主键)和email地址。登录之后,MySQL应该通过email找到相应的ID。通过索引,MySQL可以通过搜索算法很快的定位email。如果没有索引,MySQL就需要检查每一项记录直到找到。
这样的话,你可能想给每一个字段都添加索引,但是这样做的后果就是在你更新或者添加的时候,索引就会重新做一遍,当数据量大的时候,就会有性能问题。所以,只在需要的字段做索引。
10、不备份
也许不常发生,但是数据库损毁,硬盘坏了、服务停止等等,这些都会对数据造成灾难性的破坏。所以你一定要确保自动备份数据或者保存副本。
11、另外:不考虑其他数据库
MySQL可能是PHP用的最多的数据库了,但是也不是唯一的选择。 PostgreSQL和Firebird也是竞争者,他们都开源,而且不被某些公司所控制。微软提供SQL Server Express,Oracle有10g Express,这些企业级的也有免费版。SQLite对于一些小型的或者嵌入式应用来说也是不错的选择。
可能感兴趣的话题
忠告良言啊
关于伯乐在线博客
在这个信息爆炸的时代,人们已然被大量、快速并且简短的信息所包围。然而,我们相信:过多“快餐”式的阅读只会令人“虚胖”,缺乏实质的内涵。伯乐在线内容团队正试图以我们微薄的力量,把优秀的原创文章和译文分享给读者,为“快餐”添加一些“营养”元素。
新浪微博:
推荐微信号
(加好友请注明来意)
– 好的话题、有启发的回复、值得信赖的圈子
– 分享和发现有价值的内容与观点
– 为IT单身男女服务的征婚传播平台
– 优秀的工具资源导航
– 翻译传播优秀的外文文章
– 国内外的精选文章
– UI,网页,交互和用户体验
– 专注iOS技术分享
– 专注Android技术分享
– JavaScript, HTML5, CSS
– 专注Java技术分享
– 专注Python技术分享
& 2017 伯乐在线

我要回帖

更多关于 php防止sql注入函数 的文章

 

随机推荐