-3

実行しようとしている MySQL クエリを取得しましたが、それを修正する方法がわかりません。

$sql="INSERT INTO ratings (epoch, ip, step, maxstep, threadid) VALUES
('."shell_exec(date             +%s.)".','.mysql_real_escape_string(inet_pton($_COOKIE[".id."])).','.$page.', '.$pagedecode[".numpages."].', '.$ourid.')'";

私はそれが本当に悪いことを知っています:(解析エラー:構文エラー、予期しない '"'、T_STRINGまたはT_VARIABLEまたはT_NUM_STRINGを期待しています

ありがとうジェイミー

4

1 に答える 1

1 
$sql = "INSERT INTO ratings (epoch, ip, step, maxstep, threadid) VALUES ('" . shell_exec(date +%s.) . "','" . mysql_real_escape_string(inet_pton($_COOKIE[id])). "','" . $page . "','".$pagedecode[numpages]."', '".$ourid."')'";

しかし、クエリは脆弱ですSQL Injection。予防方法については以下の記事をお読みください。

于 2012-12-24T02:59:40.710 に答える