UC知道mysql 查找
来源:百度知道 编辑:UC知道 时间:2024/06/18 08:29:09
$A=mysql_query("select * from mh_dingdan where dd_teamname='".$tname."' ",$conn);
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·
$B=mysql_query("SELECT `id` , `spc` , `slc` , `skc` , `halflist` , `half` , `time` , `xiadanren` , `total`
FROM `mh_dingdan`
WHERE `dd_teamname` = CONVERT( _utf8 '".$tname."'
USING gb2312 )
COLLATE gb2312_chinese_ci
ORDER BY `time` DESC
LIMIT 0 , 30 ",$conn);
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
上面1句和下面一句区别有2个
1.$A是【select * from】这样搞感觉方便点,$B是【指定取到要的】.2个都可以完成任务。哪个更好 或者效率高
2.查找字符串,$B那句更为完善,如果用$A那句,有什么缺点!漏洞
3.我用的是PHP+mysql
关于mysql注入,我在网上看的都是好老的资料了(2004年吧),2008年也是转载的2004年的。请问要怎么预防!
好的在加分!谢谢!大家!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·
$B=mysql_query("SELECT `id` , `spc` , `slc` , `skc` , `halflist` , `half` , `time` , `xiadanren` , `total`
FROM `mh_dingdan`
WHERE `dd_teamname` = CONVERT( _utf8 '".$tname."'
USING gb2312 )
COLLATE gb2312_chinese_ci
ORDER BY `time` DESC
LIMIT 0 , 30 ",$conn);
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
上面1句和下面一句区别有2个
1.$A是【select * from】这样搞感觉方便点,$B是【指定取到要的】.2个都可以完成任务。哪个更好 或者效率高
2.查找字符串,$B那句更为完善,如果用$A那句,有什么缺点!漏洞
3.我用的是PHP+mysql
关于mysql注入,我在网上看的都是好老的资料了(2004年吧),2008年也是转载的2004年的。请问要怎么预防!
好的在加分!谢谢!大家!
程序里面下面这一句有语法错误:
$content=str_replace(chr(34),""",$content);
可以修改为:
$content=str_replace(chr(34),'"'",$content);
或者取消,好像没有什么本质意义。
程序前面几行替换HTML代码的,代码中间不能有空格,你写错了。
我修改后,完整的测试程序如下,测试通过,没有问题,能够替换:
<?php
function unhtml($content)
{
$content=str_replace("&","&",$content);
$content=str_replace("<","<",$content);
$content=str_replace(">",">",$content);
$content=str_replace(" "," ",$content);
$content=str_replace(chr(13),"<br>",$content);
$content=str_replace("\\","\\\\",$content);
$content=str_replace("台什么","不文明用语",$content);
$content=str_replace("[emt]","<img src=images/xyq/",$content);
$content=str_replace("[/emt]