找回密码
 立即注册

QQ登录

只需一步,快速开始

tisking悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-4-29 17:34:34
11#
SELECT 手机  FROM  通讯录     WHERE 用户名  = :用户名  大佬说实话你这样查是怎么操作查成功的?我怎么加都查不出数据【select "手机" from 通讯录 where 用户名 =:"张三"】这个报错;【select "手机" from 通讯录 where 用户名 =":张三"】这个是null值,没问题的.能截个图看下你怎么操作的吗?
回复 使用道具 举报
小侠米
论坛元老   /  发表于:2022-4-29 17:44:24
12#
tisking 发表于 2022-4-29 17:34
SELECT 手机  FROM  通讯录     WHERE 用户名  = :用户名  大佬说实话你这样查是怎么操作查成功的?我怎么 ...


重点:::内置数据库



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
tisking悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-4-29 18:11:40
13#
本帖最后由 tisking 于 2022-4-29 18:18 编辑
小侠米 发表于 2022-4-29 17:44
重点:::内置数据库

,确实有这样的情况;你是在检测SQL注入吗,我是没这么用过,SQL也·没见过别人这么写过,你得问下官方咋说了.
刚问了下同事,你这里的 用户名=: 用户名  

其中 【用户名=:】 他作为一个变量了就是查询条件用户名为你传的值张三所以查出来了.
回复 使用道具 举报
Lay.Li悬赏达人认证 活字格认证
超级版主   /  发表于:2022-5-5 18:37:30
14#
感谢各位大佬的支持~因为不同的数据库中使用参数时,作为参数判读的符号是不同的,活字格也不好去做统一的处理,不过可以直接在编辑sql语句中双击对应的参数,就会自动的带出应使用的参数类型

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
12
您需要登录后才可以回帖 登录 | 立即注册
返回顶部