0
我写其中用户loged脚本只是找到了与他们的用户名MySQL。哪里声明。查询
('SELECT * FROM messages WHERE username = ' . $_SESSION['username'] . ' ')
输出存储在MySQL数据库中的消息。来自未知列“约翰”在“where子句”
A
回答
1
你的脚本是开放的SQL注入。请阅读http://php.net/manual/en/security.database.sql-injection.php。
要回答你的问题。您错过了用户名字符串周围的双引号。
('SELECT * FROM messages WHERE username = "' . $_SESSION['username'] . '" ')
^ ^
相关问题
- 1. MySQL哪里声明where语句
- 2. Mysql查询:哪里没有
- 3. BaseX:在哪里声明执行查询的XML文档
- 4. 在哪里声明接口?
- 5. NSManagedObjectContext,声明在哪里?
- 6. 声明DRV_QUERYFUNCTIONINSTANCEID在哪里?
- 7. msleep声明在哪里?
- 8. XDisplayName声明在哪里?
- 9. doctype声明去哪里?
- 10. 是否可以声明到mysql查询?
- 11. 使MySQL查询选择通过声明
- 12. 在Mysql声明中运行子查询
- 13. 在mysql声明里面回声?
- 14. MySQL查询使用哪里和不是
- 15. MySQL查询在哪里变量等于
- 16. mysql查询哪里没有分层表
- 17. MySQL查询哪里列像列
- 18. VB NET - 查询Mysql - 在哪里\
- 19. 哪里细胞不等于.. MySQL查询(!=)
- 20. 哪里和哪里不在同一个查询mysql
- 21. 的MySql在哪里,并且声明抛出错误在加入
- 22. 案例声明在哪里条款
- 23. drupal -----这些变量在哪里声明?
- 24. IEnumerable在哪里<T> .OrderBy声明?
- 25. 哪里声明onOptionsItemSelected全球使用?
- 26. 在哪里声明的JavaScript/jQuery脚本
- 27. 在哪里把我的taglib声明?
- 28. OleDb在哪里像声明错误
- 29. TSQL - 哪里更新多列的声明
- 30. NSArrayController的绑定声明在哪里?
这不是它抛出这样的错误 – 2013-04-27 06:39:34
@ Mr.Alien查询:如果'$ _SESSION [ '用户名'] ==“John'',它肯定可以。他实际上并没有将它作为字符串转义,所以它被解释为列名。 – DCoder 2013-04-27 06:40:41
@DCoder这是一个值,而不是列名 – 2013-04-27 06:42:04