本文作者:kris

MySQL注入绕开过滤的技巧总结-sql注入过滤绕过

kris 2025-01-19 17:00:04 3
MySQL注入绕开过滤的技巧总结-sql注入过滤绕过摘要: mysql先过滤还是先连接?先连接再过滤效率高。 不过,内连接(inner join)与where 相差不多,如果是左右连接,性能就相差太大了。 千万不要用select * fro...

mysql先过滤还是先连接?

先连接再过滤效率高。 不过,内连接(inner join)与where 相差不多,如果是左右连接,性能就相差太大了。 千万不要用select * from (select * from A where id=1) A inner join (select * from B where id=2) B on A.id = B.AAAid这样的代码,性能是最不好的,如果记录量大,开销非常大。

laravel框架中的Model操作数据库 , 相比DB类有什么明显的优越性吗?

引言

我们推荐使用laravel的eloquent orm 模型操作数据库表, 因为特性更为丰富,组装更为灵活,在编程层面操作数据的来来去去非常直观。 而有些场景不可避免地与原生交互,我们本期就来梳理一下DB门面相关的那些方法。

MySQL注入绕开过滤的技巧总结-sql注入过滤绕过

学习时间

系统提供了DB门面用于原生的SQL操作,在程序内引入下面的类:

use Illuminate\Support\Facades\DB;

该类的定义很简单,标准的门面注册方法:

class DB extends Facade { protected static function getFacadeAccessor() { return 'db'; } }

仅实现了 getFacadeAccessor 方法,这些类处于同一个命名空间下的 Facade.php 文件内。

DB门面既可以使用query builder的链式操作,也可以用于执行原生查询。举几个例子。 比如删除users表:

DB::statement('drop table users');

带参数绑定的SQL查询语句:

DB::select('select * from contacts where validated = ?', [1]);

或者使用链式操作,获取所有满足条件的记录:

$users = DB::table('users')->get();

当然了,还有经常用到的多表联合查询,复杂的查询过滤条件:

DB::table('users') ->join('contacts', function ($join) { $join->on('users.id', '=', 'contacts.user_id')->where('contacts.type', 'donor'); }) ->get();

CRUD

上一节是一些简单示例,下面我们说一说增删改查的用法。先说查询语句, 如果在数据库优化上做的比较好的一些SQL固定写法,可以使用原生方法固化下来。 比如简单的:

$users = DB::select('select * from users');

该方法会返回一个标准对象的集合。扩展一下,带有查询条件的SQL原生语句, 为了防止SQL注入,使用参数绑定的方式:

$usersOfType = DB::select('select * from users where type = ?', [$type]);

当然也可以使用PDO常用的方式占位:

$usersOfType = DB::select('select * from users where type = :type', ['type' => $userType]);

插入新数据,其实与上述的带有占位符参数绑定的SQL查询语句类似,只是SQL语法不同而已:

DB::insert('insert into contacts (name, email) values (?, ?)', ['salt', 'salt@lot.com']);

更新数据也是一样的:

$countUpdated = DB::update('update contacts set status = ? where id = ?', [1, $id]);

当然了,删除语句仅仅需要where子句的条件参数绑定,其他与查询select无异:

$countDeleted = DB::delete('delete from contacts where archived = ?', [1]);

写在最后

本文通过对laravel DB门面的增删改查用法,向大家展示了基本的参数绑定的用法。 一般我们不推荐使用原生SQL语句操作数据库,提倡大家把数据库操作集中到模型层, 充分利用eloquent orm的性能。

Happy coding :-)

我是@程序员小助手,持续分享编程知识,欢迎关注。

首先 并没有一丁点,一丁丁点,一丁丁丁点性能强的提升。反而还会带来性能损耗。说这种orm会提升性能的统统都是放屁满嘴放屁头顶长疮脚底流脓的才会说ORM有性能提升。

ok 再说其他的。

用Laravel这种开发框架或者是ORM只是为了统一开发规范,方便团队开发和团队管理。而且还有各种轮子可以直接拿来使用。还有丰富的扩展

比如laravel-admin 一个人1天做完管理后台

orm 一次编码同时兼容oracle pgsql mysql。

这才是框架的目的。

这个问题比较细,我不专业。

laravel是很好的php开发框架,轻量化,易上手,功能强大。

和数据库的连接、查删插改,这个不熟悉,不评价。可以去CSDN上查一查。

文章版权及转载声明

作者:kris本文地址:https://www.damoyx.com/p/24920.html发布于 2025-01-19 17:00:04
文章转载或复制请以超链接形式并注明出处大漠游侠网

阅读
分享