我正在编写一个脚本,登录用户只需找到存储在 MySQL 数据库中的消息及其用户名
('SELECT * FROM messages WHERE username = ' . $_SESSION['username'] . ' ')
输出。在“where 子句”中出现未知列“John”
问问题
71 次
1 回答
1
您的脚本对 SQL 注入开放。请阅读http://php.net/manual/en/security.database.sql-injection.php。
回答你的问题。您缺少用户名字符串周围的双引号。
('SELECT * FROM messages WHERE username = "' . $_SESSION['username'] . '" ')
^ ^
于 2013-04-27T06:40:49.120 回答