可以用特殊字符串代替,比如$zhi保存到数据库中后,然后取姿冲出来,再用运掘变量去替换$zhi这个字符串即可旁册核。
成都创新互联主要从事成都网站设计、成都网站建设、外贸网站建设、网页设计、企业做网站、公司建网站等业务。立足成都服务益阳,10年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18980820575
变量颤租那里加上花括号({})即可乎耐。
$add = "insert into admin(adminid,adminname,password,rolename) values('{$adminid}','{$adminname}','{$password}','{$rolename}')";
把第一行与第二岁洞春行改为:
$conn = mysqli_connect('localhost','root','root','news');
mysqli_connect的第四个参数就是库名。
你说的只是php代码中可能会允许你使用注入语句,但是一般来说,网站防注入都是在链接数据库的类中加入了转换,也就是说把注入语句的关键字都加上了转义字符。比如你遇到的这种情况,就是被防注入了。
关于你这个问题:
问:输入框中的SQL语句应岩银该如何写?
条件:数据库表、字段全已知,输入框长度不限。
我只能跟你说,你可以在输入框中加入;,/这种符号,让语句解析的时候出现问题,让php把sql语句拼合成两个或两个以上。这样你就可以在第手嫌二粗薯宴条语句之后加入你想要执行的命令了。
如果这种方法没有效果,你只能使用溢出的方式来注入!
你注意,不是
变量
设置为null,你可以给变量赋值为字符串‘睁轿NULL’,这侍贺样就悉谈肆可以了。明白吗,你试试
你这样修改一下
代码
$min_codtime
=
($_POST['min_codtime']!=null)
?
$_POST['min_codtime']:‘NULL‘;
$exec="INSERT
INTO
expressage
(max_codtime)
values($max_codtime)";
$result
=
mysql_query($exec);
