草庐IT

eval_model_params

全部标签

php - 严格标准:静态函数 model::tableStruct() 不应该是抽象的

由于某些奇怪的原因,此消息显示在php5.4中。我的类(class)是这样的:abstractclassmodel{privatestatic$tableStruct=array();abstractprotectedstaticfunctiontableStruct();publicstaticfunctionfoo(){if(!isset(self::$tableStruct[get_called_class()]))self::$tableStruct[get_called_class()]=static::tableStruct();//I'musingithere!!}}应该
tableStructmodelsectionstaticphpclass

php - 注入(inject)攻击(我以为我被保护了!)<?php/**/eval(base64_decode(无处不在

我有一个完全自定义的PHP站点,其中包含大量数据库调用。我刚刚被注入(inject)黑客攻击。下面的这一小段代码出现在我的许多PHP页面中。我对我的SQL调用等非常小心;它们都是这种格式:$query=sprintf("UPDATESalesSET`Shipped`='1',`Tracking_Number`='%s'WHEREID='%s'LIMIT1;",mysql_real_escape_string($trackNo),mysql_real_escape_string($id));$result=mysql_query($query);mysql_close();郑重声明,我很
php无处codesectionmysql_real_escape_stringsqlsecuritysql-injection

php - eval(),有什么意义呢?

关于eval()作为函数的官方文档说:Amongotherthings,thiscanbeusefulforstoringcodeinadatabasetextfieldforlaterexecution.我对此非常困惑。PHP文档是否建议将PHP行存储到数据库中?什么?这不是很不安全吗?如果我知道数据库中有一个作为PHP执行的字符串怎么办?那不是特别危险吗?我只需要一个Sql注入(inject)来对该网站做任何我想做的事,我想做的事。我可以删除整个数据库,我可以从脚本中获取所有内容,我可以做任何事情。这怎么会有这么大的帮助?能否请您提供一些示例,说明此eval()有何用处?另外,我可
evalphpcodesection

php - Laravel - Model::create 或 Model->save() 上的数组到字符串转换错误

我正在执行一个简单的插入,我已经做了很多次,没有任何问题,但由于一些奇怪的原因,它不起作用,我收到了这个错误消息:error:{type:"ErrorException",message:"Arraytostringconversion",…}file:"C:\wamp\www\studentreg2\vendor\laravel\framework\src\Illuminate\Database\Grammar.php"line:33message:"Arraytostringconversion"type:"ErrorException"这是我的代码:$advisorCheck=A
ModelLaravel39codesectionphpeloquent

php - mysqli_stmt_bind_param SQL注入(inject)

使用preparedstatements和mysqli_stmt_bind_param是否还有注入(inject)风险?例如:$malicious_input='bob";droptableusers';mysqli_stmt_bind_param($stmt,'s',$malicious_input);在幕后,mysqli_stmt_bind_param将此查询字符串传递给mysql:SET@username="bob";droptableusers";或者它是否通过API执行SET命令,或者使用某种类型的保护来防止这种情况发生? 最佳答案
mysqli_stmt_bind_parammysqlisectioncodephpsecurity

php - MVC : Model View Controller -- does the View call the Model?

我已经阅读了一段时间有关MVC设计的内容,看起来正式的是View调用Model中的对象和方法,构建并输出一个View。我认为这主要是错误的。Controller应该执行并检索/更新Model内的对象,选择合适的View并将信息传递给它以便它可以显示。只有粗略和基本的PHP变量/简单的if语句应该出现在View中。如果View从Model中获取它需要显示的信息,那么View中肯定会有很多PHP--完全违反了分离表示逻辑的要点。 最佳答案 与所有编程一样,我们需要务实。View应该只包含表示逻辑。该逻辑可以非常简单,也可以非常复杂。只要
ModelViewsectionControllerphpmodel-view-controllerdesign-patterns

PHP bind_params 为空

如果该变量存在,我正在尝试将参数绑定(bind)到INSERTINTOMySQLi准备语句,否则插入null。这是我拥有的,但它不起作用:if(!empty($name)){$result->bind_param('ss',$name,$url_friendly_name);}else{$result->bind_param('ss',null,null);}if(!empty($description)){$result->bind_param('s',$description);}else{$result->bind_param('s',null);}有没有人知道这样做的更好方法,
bind_paramsparamscodesectionbindphpmysqliprepared-statement

php - openssl_verify() : supplied key param cannot be coerced into a public key for a . pem 文件

当前正在尝试读取.pem公钥以通过openssl对其进行验证。/***Checkwhetherthesignedmessagesentbackbytheserveris*correctornot.*/functioncheck($str,$MAC){$fp=fopen(dirname(__FILE__).'/rsa_public_key.pem','r');$cert=fread($fp,8192);fclose($fp);$pubkeyid=openssl_get_publickey($cert);returnopenssl_verify($str,$MAC,$pubkeyid);}
openssl_verifykeycodesectionopensslphp

php - 是否可以将 bind_param 用于 ORDER BY?

这个问题在这里已经有了答案:CanIparameterizethetablenameinapreparedstatement?(2个答案)关闭3年前。在我看来,我有一个类似这样的查询:$sort=isset($sort)?sanitize($_sort):'id';if($result=$link->prepare("SELECTid,priceFROMitemsORDERBY?")){$result->bind_param("s",$sort);$result->execute();etc...}当我在不设置排序变量的情况下运行此代码块时,它运行时不会出现与在ORDERBY子句中使用
bind_paramORDERsectionsortphpmysqlisql-order-byprepared-statementbindparam

php - disable_functions php.ini eval 函数仍然有效

我在试图禁用我的php.ini中的某些功能时遇到了一个小问题。首先,我不是服务器的所有者,所以我无法更改主php.ini配置。但是我试图用服务器所有者给我的指令来改变它。这是我在我创建的php.ini文件中放入的行disable_functions=eval,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source在我的phpinfo()中,我可以在本地值和主值中看到这些功能被禁用。但我的问题从这里开始。在女巫的同一个文件中,我运行phpinf
disable_functionsphpcodesectioneval
155156157158159160161