sql >> Databáze >  >> RDS >> Mysql

jak zabránit vkládání SQL z tohoto dotazu?

Když je zástupný symbol citován, nejedná se o zástupný symbol, je to doslovná hodnota. Zkuste to takto:

$a = Model::model()->findAllBySql(
                      'SELECT * FROM table WHERE name like :name',
                      array(":name"=> '%' . $_GET['name'] . '%')
                      );

Ovladač v současné době automaticky připojuje dvojtečky, ale v budoucnu se tak nemusí stát. Nejlepší je, aby jméno odpovídalo zástupnému symbolu.




  1. Výkon serveru SQL – testování v cloudu

  2. Dotaz MySQL – záznamy mezi dneškem a posledními 30 dny

  3. Vyberte posledních 20 objednávek vzestupně - PHP/MySQL

  4. Jak se připojím k serveru SQL pomocí sqlalchemy pomocí ověřování systému Windows?