【发布时间】:2014-01-18 01:05:04
【问题描述】:
您好,感谢大家帮助我解决当前的问题,如果可以,您能否检查此代码是否也有任何漏洞?
$sql="INSERT INTO `paypal_mysqltable_name` (datenow, item_name, item_number, payment_status, payment_amount, payment_currency, payer_email, payment_type, custom,
invoice, first_name, last_name, address_name, address_country, address_country_code, address_zip, address_state, address_city, address_street)
VALUES (CURRENT_TIMESTAMP,'item_name','$item_number','$payment_status', '$payment_amount','$payment_currency','$payer_email', '$payment_type','$custom' ,'$invoice','$first_name','$last_name','$address_name','$address_country','$address_country_code','$address_zip','$address_state','$address_city','$address_street')";
$result=mysql_query($sql,$link);
大家好,对不起,我不太习惯 SQL 和 php,我已将我的 $link 转换为 MYSQLi,就像推荐的那样,但是我在将我提交的语句写入这种格式时遇到了问题。
$stmt = $mysqli->prepare("
谁能帮忙
【问题讨论】:
-
请使用
PreparedStatement -
我该怎么做?
-
为了防止 SQL 注入,请参阅 stackoverflow.com/questions/60174/… 然后,当 使用 数据时(例如以 HTML 格式输出),请确保使用正确的转义 - 但那是 不同的问题,所以不太清楚为什么“html”是一个标签。
-
@user3148173 您的所有问题都在链接的问题中得到解答。
-
正如@user2864740 提到的,这个问题已经有了答案here
标签: php html mysql database mysqli