Intereting Posts

Доступ к массиву JSON после json_decode / многомерного массива Обновить значение в массиве сеансов php Как вызвать URL-адрес JSON в php, который включает пробелы в запросе Как установить значения для окна выбора или выпадающего списка, когда установлено значение предыдущего списка, Ошибка Ubuntu / Apache2 / Forbidden / Permission Функция PHP использует переменную извне Как преобразовать PNG в 8-битный PNG с помощью библиотеки PHP GD PHP: возвращает все даты между двумя датами в массиве javascript run xmlhttp php script 404 не найден Многомерный массив PHP сортирует по другому массиву Woocommerce обновляет методы доставки при оформлении заказа через ajax Как аннулировать кеш контейнера в Symfony2? Лучшая практика для обработки форм Как получить первую страницу PDF и преобразовать ее в JPG Конфликты контроллера воспламенителя / имя модели

как предотвратить SQL-инъекцию из этого запроса?

Я использую Yii 1, я хочу построить следующий запрос:

$a = Model::model()->findAllBySql( 'SELECT * FROM table WHERE name like "%'.$_GET['name'].'%"' );

Чтобы предотвратить внедрение sql, я написал следующее:

  $a = Model::model()->findAllBySql( 'SELECT * FROM table WHERE name like "%:name%"', array("name"=>$_GET['name']) );

но он не возвратил данных. Есть ли ошибки в этом запросе?

Когда заполнитель цитируется, он не является заполнителем, это буквальное значение. Попробуйте это так:

 $a = Model::model()->findAllBySql( 'SELECT * FROM table WHERE name like :name', array(":name"=> '%' . $_GET['name'] . '%') );

Драйвер в настоящее время автоматически добавляет двоеточия, но это может не произойти в будущем, лучше всего совместить имя с заполнителем.