SQL中条件字段和表字段名相同，造成全表查询

发布于 2022-09-03 12:26:03 字数 326 浏览 30 评论 0

各位大神好，在下是小菜鸟一枚，在实践中发现，类似如下的语句：

SELECT * FROM seller_item_classify where sid=$sid order by cweight asc ;

其中$sid为前端传过来的数值，seller_item_classify为表明，sid为表中的一个字段名；
如果$sid传过来的值正好是'sid'的时候，SQL的这个where就失效了，造成了全表查询；

因为在生产环境中，$sid的值可能是数值，可能是char；我应该在php里做对前端输入值的过滤？

请问各位是如何看这个问题？

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

拥抱没勇气 2022-09-10 12:26:03

"SELECT * FROM seller_item_classify where sid='$sid' order by cweight asc ;"

回复收藏 0

开始看清了 2022-09-10 12:26:03

SQL的条件值都加''

sid = '$sid'

回复收藏 0

揽月 2022-09-10 12:26:03

对于前端输入值，后端必须过滤，建议使用sql预处理。

回复收藏 0

乖乖兔^ω^ 2022-09-10 12:26:03

as 别名 好使吗？

回复收藏 0

优雅的叶子 2022-09-10 12:26:03

加上单引号就解决了

回复收藏 0

无需解释 2022-09-10 12:26:03

'SELECT * FROM seller_item_classify where sid='.$sid.' order by cweight asc ;'
用pdo预处理吧

回复收藏 0

傲性难收 2022-09-10 12:26:03

<?php
$sid = issset($_REQUEST['sid']) ?  htmlspecialchars(trim($_REQUEST['sid'])) : '';
if (!$sid or $sid=='sid') {
    // 非法请求 这里可以抛出一些异常
}

回复收藏 0

~没有更多了~

关于作者

本王不退位尔等都是臣

暂无简介

0 文章

0 评论

615 人气

关注发私信

1CH1MKgiKxn9p

文章 0 评论 0

关注

ゞ记忆︶ㄣ

文章 0 评论 0

关注

JackDx

文章 0 评论 0

关注

信远

文章 0 评论 0

关注

yaoduoduo1995

文章 0 评论 0

关注

霞映澄塘

文章 0 评论 0

友情链接

文江博客

SQL中条件字段和表字段名相同，造成全表查询

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（7）

关于作者

相关话题

热门标签

推荐作者

1CH1MKgiKxn9p

ゞ记忆︶ㄣ

JackDx

信远

yaoduoduo1995

霞映澄塘

友情链接

SQL中条件字段和表字段名相同，造成全表查询

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（7）

关于作者

相关话题

热门标签

推荐作者

1CH1MKgiKxn9p

ゞ记忆︶ㄣ

JackDx

信远

yaoduoduo1995

霞映澄塘

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。