符合中小企业对网站设计、功能常规化式的企业展示型网站建设
本套餐主要针对企业品牌型网站、中高端设计、前端互动体验...
商城网站建设因基本功能的需求不同费用上面也有很大的差别...
手机微信网站开发、微信官网、微信商城网站...
易语言MySQL除了替换关键字怎么防注入
创新互联公司坚信:善待客户,将会成为终身客户。我们能坚持多年,是因为我们一直可值得信赖。我们从不忽悠初访客户,我们用心做好本职工作,不忘初心,方得始终。十多年网站建设经验创新互联公司是成都老牌网站营销服务商,为您提供做网站、网站制作、网站设计、成都h5网站建设、网站制作、品牌网站建设、微信小程序开发服务,给众多知名企业提供过好品质的建站服务。
防止SQL注入,我们需要注意以下几个要点:
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。
2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
只是在SQL查询语言中有那么一些词,比如像 name,user,number等等 都是关键字…… 尽量避免使用,一般我在使用的时候都是比如像ss_user,ss_name等等……
mysql规避关键字是在表名和字段名用``,类似于单引号的例如`user`,就行,但它不是单引号
将字段名在sql语句中加上"[]"或者用反单引号引起来(切换成全角的),不同的sql语句方法不同如name变成[name]或'name'或者将字段名修改一下使它与关键字区分开
本文章来给大家提供三种在mysql中避免重复插入记录方法,主要是讲到了ignore,Replace,ON DUPLICATE KEY UPDATE三种方法,有需要的朋友可以参考一下\x0d\x0a方案一:使用ignore关键字\x0d\x0a\x0d\x0a如果是用主键primary或者唯一索引unique区分了记录的唯一性,避免重复插入记录可以使用:\x0d\x0a\x0d\x0a代码如下:\x0d\x0a INSERT IGNORE INTO `table_name` (`email`, `phone`, `user_id`) VALUES ('test9@163.com', '99999', '9999'); \x0d\x0a \x0d\x0a这样当有重复记录就会忽略,执行后返回数字0\x0d\x0a\x0d\x0a还有个应用就是复制表,避免重复记录:\x0d\x0a\x0d\x0a代码如下:\x0d\x0a INSERT IGNORE INTO `table_1` (`name`) SELECT `name` FROM `table_2`; \x0d\x0a \x0d\x0a方案二:使用Replace\x0d\x0a\x0d\x0a语法格式:\x0d\x0a\x0d\x0a代码如下:\x0d\x0aREPLACE INTO `table_name`(`col_name`, ...) VALUES (...);\x0d\x0aREPLACE INTO `table_name` (`col_name`, ...) SELECT ...;\x0d\x0aREPLACE INTO `table_name` SET `col_name`='value', \x0d\x0a\x0d\x0a...算法说明:\x0d\x0aREPLACE的运行与INSERT很相像,但是如果旧记录与新记录有相同的值,则在新记录被插入之前,旧记录被删除,即:\x0d\x0a\x0d\x0a尝试把新行插入到表中 \x0d\x0a当因为对于主键或唯一关键字出现重复关键字错误而造成插入失败时: \x0d\x0a从表中删除含有重复关键字值的冲突行 \x0d\x0a再次尝试把新行插入到表中 \x0d\x0a旧记录与新记录有相同的值的判断标准就是:\x0d\x0a表有一个PRIMARY KEY或UNIQUE索引,否则,使用一个REPLACE语句没有意义。该语句会与INSERT相同,因为没有索引被用于确定是否新行复制了其它的行。\x0d\x0a\x0d\x0a返回值:\x0d\x0aREPLACE语句会返回一个数,来指示受影响的行的数目。该数是被删除和被插入的行数的和\x0d\x0a受影响的行数可以容易地确定是否REPLACE只添加了一行,或者是否REPLACE也替换了其它行:检查该数是否为1(添加)或更大(替换)。\x0d\x0a\x0d\x0a示例:\x0d\x0a# eg:(phone字段为唯一索引)\x0d\x0a\x0d\x0a代码如下:\x0d\x0aREPLACE INTO `table_name` (`email`, `phone`, `user_id`) VALUES ('test569', '99999', '123');\x0d\x0a\x0d\x0a另外,在 SQL Server 中可以这样处理:\x0d\x0a\x0d\x0a代码如下:\x0d\x0aif not exists (select phone from t where phone= '1') insert into t(phone, update_time) values('1', getdate()) else update t set update_time = getdate() where phone= '1'\x0d\x0a\x0d\x0a方案三:ON DUPLICATE KEY UPDATE\x0d\x0a\x0d\x0a如上所写,你也可以在INSERT INTO?..后面加上 ON DUPLICATE KEY UPDATE方法来实现。如果您指定了ON DUPLICATE KEY UPDATE,并且插入行后会导致在一个UNIQUE索引或PRIMARY KEY中出现重复值,则执行旧行UPDATE。\x0d\x0a\x0d\x0a例如,如果列a被定义为UNIQUE,并且包含值1,则以下两个语句具有相同的效果:\x0d\x0a\x0d\x0a代码如下:\x0d\x0aINSERT INTO `table` (`a`, `b`, `c`) VALUES (1, 2, 3) ON DUPLICATE KEY UPDATE `c`=`c`+1; \x0d\x0aUPDATE `table` SET `c`=`c`+1 WHERE `a`=1;\x0d\x0a\x0d\x0a如果行作为新记录被插入,则受影响行的值为1;如果原有的记录被更新,则受影响行的值为2。\x0d\x0a\x0d\x0a注释:如果列b也是唯一列,则INSERT与此UPDATE语句相当:\x0d\x0a\x0d\x0a代码如下:\x0d\x0aUPDATE `table` SET `c`=`c`+1 WHERE `a`=1 OR `b`=2 LIMIT 1;\x0d\x0a\x0d\x0a如果a=1 OR b=2与多个行向匹配,则只有一个行被更新。通常,您应该尽量避免对带有多个唯一关键字的表使用ON DUPLICATE KEY子句。\x0d\x0a\x0d\x0a您可以在UPDATE子句中使用VALUES(col_name)函数从INSERT?UPDATE语句的INSERT部分引用列值。换句话说,如果没有发生重复关键字冲突,则UPDATE子句中的VALUES(col_name)可以引用被插入的col_name的值。本函数特别适用于多行插入。VALUES()函数只在INSERT?UPDATE语句中有意义,其它时候会返回NULL。\x0d\x0a\x0d\x0a代码如下:\x0d\x0aINSERT INTO `table` (`a`, `b`, `c`) VALUES (1, 2, 3), (4, 5, 6) ON DUPLICATE KEY UPDATE `c`=VALUES(`a`)+VALUES(`b`);\x0d\x0a\x0d\x0a本语句与以下两个语句作用相同:\x0d\x0a\x0d\x0a代码如下:\x0d\x0aINSERT INTO `table` (`a`, `b`, `c`) VALUES (1, 2, 3) ON DUPLICATE KEY UPDATE `c`=3; \x0d\x0aINSERT INTO `table` (`a`, `b`, `c`) VALUES (4, 5, 6) ON DUPLICATE KEY UPDATE c=9;\x0d\x0a\x0d\x0a注释:当您使用ON DUPLICATE KEY UPDATE时,DELAYED选项被忽略。\x0d\x0a\x0d\x0a示例:\x0d\x0a这个例子是我在实际项目中用到的:是将一个表的数据导入到另外一个表中,数据的重复性就得考虑(如下),唯一索引为:email:\x0d\x0a\x0d\x0a代码如下:\x0d\x0aINSERT INTO `table_name1` (`title`, `first_name`, `last_name`, `email`, `phone`, `user_id`, `role_id`, `status`, `campaign_id`) \x0d\x0a SELECT '', '', '', `table_name2`.`email`, `table_name2`.`phone`, NULL, NULL, 'pending', 29 FROM `table_name2` \x0d\x0a WHERE `table_name2`.`status` = 1 \x0d\x0aON DUPLICATE KEY UPDATE `table_name1`.`status`='pending'\x0d\x0a\x0d\x0a再贴一个例子:\x0d\x0a\x0d\x0a代码如下:\x0d\x0a INSERT INTO `class` SELECT * FROM `class1` ON DUPLICATE KEY UPDATE `class`.`course`=`class1`.`course`\x0d\x0a\x0d\x0a其它关键:DELAYED 做为快速插入,并不是很关心失效性,提高插入性能。 \x0d\x0aIGNORE 只关注主键对应记录是不存在,无则添加,有则忽略。\x0d\x0a\x0d\x0a特别说明:在MYSQL中UNIQUE索引将会对null字段失效,也就是说(a字段上建立唯一索引):\x0d\x0a\x0d\x0a代码如下:\x0d\x0a INSERT INTO `test` (`a`) VALUES (NULL);\x0d\x0a\x0d\x0a是可以重复插入的(联合唯一索引也一样)。