-1

我是 MySQL 查询的新手。这就是我到目前为止我做错了什么?

"INSERT INTO users (ip) WHERE id = '".$_SESSION["user"]["id"]."' 
VALUES ('$ip')"

编辑

我只是在问我的语法是怎么错的。我了解这些漏洞,并没有将它们粘贴到我的问题中。我正在使用 PDO 库和 mysql_real_string_escape,只要我能...

4

3 回答 3

4

INSERT 查询错误。我认为你正在更新一些东西,你需要使用 UPDATE 查询

UPDATE users SET ip = '$ip' WHERE id = '".$_SESSION["user"]["id"]."' 

还致力于修复 sql 注入攻击。

于 2012-11-26T02:11:45.687 回答
1
INSERT INTO users (ip) 
VALUES ('value to insert')

或者

UPDATE users
SET ip = 'value to update'
WHERE ip = 'value to check'

value to update此外,将您的and包装value to insert在 PHP 中mysqli_real_escape_string($DB,$val)

于 2012-11-26T02:13:18.093 回答
0
  INSERT INTO table_name (column1, column2, column3,...)
  VALUES (value1, value2, value3,...)
  WHERE column_name operator value

sql注入信息

于 2012-11-26T02:12:47.837 回答