- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我目前正在用 perl 编写一个小脚本来连接到我的数据库,检索一些数据,并将其显示给用户。检索到的数据取决于用户给出的参数。
我正在使用 dbh->quote
转义引号:
...
my $dbh=DBI->connect(***);
my $myquery="SELECT * FROM customers WHERE clientName =".$dbh->quote(param('name')) . " AND pass =".$dbh->quote(param('pass'));
my $sth=$dbh->prepare($myquery);
$sth->execute();
my $output=$sth->fetch();
if ($output){
print @$output;
}
...
最佳答案
问题主要不在于quote
本身。 quote
如果使用得当,它是安全的(尽管在这种情况下它不是最佳选择)。但是,如果 param
是 param
从 CGI.pm 或其他任何具有类似行为的文件中,您会遇到大问题。
你看,param
是上下文相关的。在标量上下文中,如果参数具有单个值( name=foo
),则返回该值,如果参数具有多个值( name=foo&name=bar
),则返回一个数组引用。在列表上下文中,它返回一个值列表,无论是零、一还是多个。方法的参数列表(例如 quote
)是一个列表上下文。这意味着有人使用您的应用程序可能会导致 quote
接收两个值,和 quote
的可选第二个参数是第一个参数应视为的 SQL 数据类型。如果数据类型是非字符串类型,如 NUMERIC
,然后 quote
将通过它的第一个参数而不进行任何引用。这构成了 SQL 注入(inject)的机会。
建议:
quote
正确使用是安全的,占位符更好,更安全,更难使用错误。尽可能使用 DBI 占位符,而不是 quote
. param
在参数列表、哈希构造函数或任何其他可能返回意外数量的项目并毁了你一天的地方。要么放 scalar
在前面,分配给标量或分配给数组。或者,更好的是,完全避免 CGI.pm 和类似工作的界面。 关于sql - perl 函数 dbh->quote 仍然安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40273267/
所以我一直在尝试使用 Postgresql + Nginx 使用 CodeIgniter 4 设置 CRUD 我目前将数据库文件设置为。 database.default.database = ign
var quote = 'some text here [[quote=bob]This is some text bob wrote[/quote]] other text here'; 我正在尝试
我需要进行以下类型的正则表达式匹配 例如,如果我有一个字符串 - 一些“这是“样本”数据”示例 我想从上面的字符串中提取“这是“样本”数据”。请给我一个正则表达式,它可以返回我想要的结果 更多详情 我
我需要将以下所有 [quote] 替换为 " 并将 [/quote] 替换为 "字符串: [quote]fgfhfgh [quote] vbbb[/quote]ghhhhjj[/quote] 结果应该
我正在尝试找到以下问题的解决方案,如果有的话。 假设主引号是双引号“(开始)和”(结束)。假设第二个引号是单引号‘(开始)和’(结束)。 想想如何显示引号中的引号。 写引号的标准当然是交替的,像这样。
我有这个带有预写信息的 HTML 代码。我的目标是在我聚焦/单击文本区域后,在黄色背景中突出显示 [quote] [/quote] 之间的文本。 This is a test message. [q
嘿,我有一些格式如下的文本: [quote]foo text[/quote] 我想把它改成这样: foo text 如何用 JS 做到这一点? 我正在使用 jQuery。 最佳答案 应该执行以下操作:
目标是使用 Javascript (vanilla) 删除介于 [quote][/quote] 和 [quote=something][/quote] 之间的所有文本(包括)(不区分大小写).最好也删
我正在使用 Content: Open-quote,我第一次使用它时,它看起来不错,但第二次它是一个单引号,这不是我想要的。这是一个显示问题的 jsfiddle。 https://jsfiddle.n
for /f "delims=" %%a in ('"%systemRoot%\system32\find.exe" /?') do @echo %%a 是的,上一行有效。没有多大用处,但有效。但是尝
可能是个愚蠢的问题,但似乎无法让它发挥作用。我需要用\"替换文本框中的引号,以便正确导出到 excel。我正在尝试: [Note].Text).Replace("\"", "\"") 我做的完全错了吗
有什么区别 和 第一个在 ${expression.value} 周围使用单引号,第二个使用双引号。 最佳答案 没有区别,哪个都好。两者都有效的原因是 " 或 ' 可以在表达式中使用。在这种情况下
我怎样才能像下面的代码那样使用字符串。 $str = 'Is yo"ur name O'reil"ly?'; 上面的代码只是一个例子..我需要使用包含单引号和双引号的大 html 模板。我尝试了 Ad
我的一个项目使用 shlex.quote,它从 python 3.3 开始可用。但是 shlex.quote 与 pipes.quote 相同,后者在移动到 shlex 后已弃用。 现在为了兼容性我正
在ANTLR v4中,我们如何像VBA中那样用双引号转义的双引号解析这种字符串? 对于文本: "some string with ""john doe"" in it" 目标是识别字符串:some s
我正在制作一个Windows批处理文件以运行7zip命令行来压缩一组文件。需要根据文档引用以下脚本中/C后面的部分。问题出在文件路径周围已经有双引号引起了。我是否需要\转义某些引号,使用多余的引号,单
也许你可以帮我在文档中找到它。我使用磅引号能够在执行之前传递未评估的函数名称。例如: (#'cons 1 ()) ;(1) (defn funcrunner [func a b] (func a
我从 CSV 文件中得到了一行,其中 " 作为字段封闭器,, 作为字段分隔符作为字符串。有时数据中有 " 会破坏字段包围。我正在寻找一个正则表达式来删除这些 " 。 我的字符串如下所示: my $cs
我正在尝试以下操作: $stmt = $db->prepare("SELECT * FROM table WHERE date BETWEEN :year-
我有一个从我们网站导出的带有引号 "的 excel 文件,需要用 html 实体替换: " 这个: Dimensions are 7" wide by 5" tall. 需要看起来像: Di
我是一名优秀的程序员,十分优秀!