0
난 그냥 자신의 사용자 이름MySQL. 여기서 진술. 쿼리
('SELECT * FROM messages WHERE username = ' . $_SESSION['username'] . ' ')
출력과 MySQL 데이터베이스에 저장되어있는 메시지를 찾아 사용자에 loged 스크립트를 쓰고 있어요. 알 수없는 'John'where where 절 '
A
답변
1
귀하의 스크립트는 SQL injection에 열려 있습니다. http://php.net/manual/en/security.database.sql-injection.php을 읽어주십시오.
질문에 답변하십시오. 사용자 이름 문자열 주위에 큰 따옴표가 없습니다.
('SELECT * FROM messages WHERE username = "' . $_SESSION['username'] . '" ')
^ ^
관련 문제
- 1. PHP mysql REGEXP 준비된 진술
- 2. 준결승 PHP/MySQL 선택 진술
- 3. Mysql 여기서 id는 배열입니다.
- 4. mysql 여기서 숫자는
- 5. 여기서 mysql psuedo 열
- 6. rails dynamic 여기서 sql 쿼리
- 7. MySQL 여기서 DateTime이 오늘보다 큽니다
- 8. PDO 준비된 진술 보안
- 9. 준비된 진술
- 10. 진술 컨디셔닝
- 11. 거짓 진술
- 12. 원자력 진술?
- 13. 포인터로되는 jmp_buf 진술
- 14. Mysqli 삽입 진술
- 15. 조건부 여기서; SQLServer2008 용 Sql 쿼리/TSql
- 16. 어떻게 구현 "여기서"쿼리 수, LINQ
- 17. 여기서, 회원
- 18. 데이터 가져 오기 Mysql/Php 여기서 날짜는
- 19. Mysql 여기서 null은 무시됩니까? 왜? 어떻게 수정합니까?
- 20. php/mysql update 여기서 id = blah
- 21. MySQL 쿼리/하위 쿼리
- 22. 쿼리 내의 MySQL 쿼리
- 23. mysql 쿼리 쿼리
- 24. MySQL 쿼리 중첩 쿼리
- 25. 쿼리 내 MySQL 쿼리
- 26. SQL Server 쿼리 성능, Large 여기서 문 및 쿼리
- 27. 기본 준비 진술 : 제한되어 있습니까?
- 28. 날짜까지 MySQL 데이터베이스에 쿼리
- 29. 재귀 자체가있는 MySQL 쿼리
- 30. 배열로 mysql PHP 쿼리
이 Mr.Alien @ 당신에게 그 오류 –
던지고 쿼리되지 않습니다 :'$ _SESSION [ '이름'] == 'John'', 그것은 확신 할 수있는 경우. 실제로 문자열을 이스케이프 처리하지 않으므로 열 이름으로 해석됩니다. – DCoder
@DCoder 값이 아니고 열 이름이 아닙니다. –