Question

亲爱的朋友我的表象是我的q。

<label for="fullname">Fullname</label>
<input type="text" name="fullname" />

<label for="photo">Upload photo</label>
<input name="photo" type="file"/>

和在“基地”组织目标上,我

$fullname = $_POST[ fullname ];

    $uploaddir =  ./uploads/ ;
    //upload file in folder
    $uploadfile = $uploaddir. basename($_FILES[ photo ][ name ]);
    //insert filename in db
    $upload_filename = basename($_FILES[ photo ][ name ]);
    move_uploaded_file($_FILES[ photo ][ tmp_name ], $uploadfile);
    $photo = $upload_filename;

$sql = "INSERT INTO members(fullname,photo) VALUES( $fullname ,  $photo )";
$stmt = $link->query($sql) or die($link->error);
    $stmt->close;

请帮助我,我是在现场利用这一信息。

Answer 1

改用准备发言:

$fullname = $_POST[ fullname ];

    $uploaddir =  ./uploads/ ;
    //upload file in folder
    $uploadfile = $uploaddir. basename($_FILES[ photo ][ name ]);
    //insert filename in db
    $upload_filename = basename($_FILES[ photo ][ name ]);
    move_uploaded_file($_FILES[ photo ][ tmp_name ], $uploadfile);
    $photo = $upload_filename;

$sql = "INSERT INTO members(fullname,photo) VALUES(?, ?)";
$stmt = $link->prepare($sql);
$stmt->bind_param( ss ,$fullname,$photo);
$stmt->execute();

详情见准备发言和。 http://en.wikipedia.org/wiki/SQL_injection”rel=“nofollow noreferer”>SQLjection in 。

Answer 2

在你重新使用<代码>mysqli时,请你回答参数问题。这一般比试图逃避扼杀::

$q= $mysqli->prepare( INSERT INTO members (fullname, photo) VALUES (?, ?) );
$q->bind_param( ss , $fullname, $photo);
$q->execute();

请注意,将用户-用户-用户-用户-应用文档名称用于文件上载的风险很大。在其现行代码中,用户可上载.php文档,如果uploads ,则文件夹可上网络服务器,从而使攻击者能够在服务器上操作其选择的任意代码。

其他潜在麻烦的档案名称包括空档、非ASCII和控制特性、>.htaccess在阿帕奇服务器上,以及带有铅/交易狗和空间的档案,或使用一个系统在Windows服务器上保留文档名称。此外,似乎没有任何保护防止用户上载照片,该照片超越了另一个用户,这似乎很有可能发生事故。

通常最好从随机数目或排位主要钥匙中生成一个档案名称,并增加你想要的延伸(例如<代码>.jpeg)。宣传用户提供的文件名称比你想象的要困难得多。

请帮助我,我是在现场利用这一信息。

如果接触到非托管用户,我会认真对待网站,直到您确定网站。

Answer 3

或许,你们需要我sql_real_einski_string()?

http://php.net/manual/en/Function.mysql-real-einski-string.php

Answer 4

我建议拥有者利用现有的PHP数据库:PDO或Pear的部分,如。有了主人,数据库图书馆就把你 proper为 proper,你的代码变得更容易阅读。

在这种情况下,你的法典就是这样:

$sql = "INSERT INTO members (fullname,photo) VALUES (?, ?)";
$values = array($fullname, $photo) ;

$prepared = $link->prepare($sql) ;
$result = $prepared->execute($values) ;

我刚刚认识到,你正在使用我的sqli,以便继续使用 ,载于或 here 。

$sql = "INSERT INTO members (fullname,photo) VALUES (?, ?)";
$stmt = $link->prepare($sql) ;
//ss means the 2 parameters after it should be treated as string, string
$stmt->bind_param( ss , $fullname, $photo) ;

$result = $stmt->execute() ;

Answer 5

我想就此发表评论:

请注意,相信用户-供应商档案名称以备文件上载的风险。在其现行法典中,用户可以上载一个.php文档,如果上载的夹暴露在网络服务器上,该文档将使攻击者能够在服务器上操作他们选择的任意代码。

通常最好从随机数字或增长中生成一个档案名称,并增加你想要的延伸(例如,jpeg)。宣传用户提供的文件名称比你想象的要困难得多。

海事组织对档案名称进行宣传并不是正确的做法。一种情况是,可起诉可上载任何档案名称,并可由其他用户下载。之后,许多用户将尝试启动这一档案。如果存在病毒或类似情况,使用者现在就会受到伤害。

相反,.fileinfo/code> 除非档案是严格的图像,否则,在这种情况下,我认为最佳做法似乎正在使用getimagesize,以核实其格式是允许的。

友情链接