请稍等 ...

关于tp5的sql注入问题

我想写个搜索接口，tp5的sql语句where()的模糊匹配like，为了防止sql注入肯定不能写成['like', '%'.$data['words'].'%']这个样子，请老师解答tp5是如何处理的，难道用到PDO？

Civo 2017-09-29 00:47:04

源自：1-1 课程简介

827

收起

提交取消

1回答

singwa 2017-09-29 11:42:28

你好tp已经考虑好了这个

0 回复有任何疑惑可以回复我~

收起回答

提问者 Civo #1

老师说的考虑好了指的是？tp常用的查询条件我知道可以用占位符传参的方式来解决sql注入的问题，但是模糊匹配写成  like  %:bookname% 会报错，写成字符串拼接like '%'.$data['bookname'].'%'会有sql注入的问题，tp手册的模糊匹配例子都是写好的字符串'%thinkphp%'，不知道传参的模糊匹配怎么写比较好

回复有任何疑惑可以回复我~ 2017-09-29 15:11:14