php中i方法

Ⅰ php中++i 与 i++ 的区别

1、++i 的用法（以 a=++i ，i=2 为例）
先将 i 值加 1 （也就是 i=i+1 ），然后赋给变量 a （也就是 a=i ），
则最终 a 值等于 3 , i 值等于 3 。
所以 a=++i 相当于 i=i+1 ，a=i
2、i++ 的用法（以 a=i++ ，i=2 为例）
先将 i 值赋给变量 a （也就是 a=i ）,然后 i 值加 1 （也就是 i=i+1 ），
则最终 a 值等于 2 ，i 值等于 3 。
所以 a=i++ 相当于 a=i , i=i+1
3、++i 与 i++
a=++i 相当于 i++ , a=i
a=i++ 相当于 a=i , i++
4、++i 与 i++ 单独使用时，相当于 i=i+1
如果赋给一个新变量，则 ++i 先将 i 值加 1 ，而 i++ 先将 i 赋给新变量。

Ⅱ Thinkphp3.2.3 sql注入总结

针对ThinkPHP3.2.3版本的SQL注入总结，首先确保数据库配置正确，使用预定义的数据库如sqllabs的数据库。

构建一个查询入口，如在Application/Home/Controller/IndexController.class.php文件中，使用sqllabs的users表。ThinkPHP内置了大写函数，对SQL注入进行检测。

常规注入方法如'1' or '1'='1'#在实际应用中无法实现，因为id字段的处理流程涉及多个步骤，包括进入D方法、实例化模型、I方法获取参数等。在I方法中，传递的参数被htmlspecialchars过滤，然后进入find方法，进一步处理为数组，避免了直接转换为整型的可能。

对于int型字段的注入尝试失败，因为数据被正确地处理为整型。而将字段改为varchar类型后，注入尝试仍然失败，原因在于即使在数组注入下，通过htmlspecialchars的转义机制也阻止了注入的实现。

数组绕过尝试通过?id[where]=1，实现绕过常规参数处理，然而在ThinkPHP的过滤机制下，这种方式并不适用，因为参数处理过程相对简单，不需要复杂的绕过策略。

EXP注入利用了where参数，绕过了I方法的过滤，直接将注入payload传递给find方法。在处理过程中，绕开了int型的intval转换，使用数组直接赋值给where，进而执行SQL注入。

BIND注入则通过save方法和bindParam函数，绕过了数据的类型转换，直接将payload绑定到查询中，实现了注入的执行。

总结，ThinkPHP3.2.3版本的SQL注入涉及到多个步骤和安全检查，通过理解每个步骤的处理方式，可以识别和绕过注入尝试，但实际应用中，ThinkPHP的过滤机制和参数处理逻辑设计使得常规的SQL注入变得困难。

Ⅲ thinkphp怎么做才是安全的sql防注入

主要的sql注入来源于数据请求。比如表单的提交。攻击者会在请求中带上一些可执行的sql语句。达到注入的目的。

Thinkphp内置了数据过滤机制。可以有效的将一些存在风险的符号过滤处理。具体如下：

1、Thinkphp3.2版本：

使用I方法来获取post、get等参数。例如获取id参数。

I('get.id');
I('post.id');

2、Thinkphp5.0版本：

由于5.0版本将单字母方法取消了，取而代之的是一些语义更明确的方法名，I方法对应的是input方法。所有使用input方法来获取post、get等参数。例如获取id参数。

input('get.id');
input('post.id');

更多案例可以查看Thinkphp官方文档。