0
下面是该查询:
$table = $_GET['type'];
$q="DELETE FROM '$table' WHERE cont_id='".$_GET['where']."'";
我也试过在$_GET部除去单/双引号,但没有奏效。我在执行查询之前打印了变量的值,他们是正确的,所以我不认为这是问题。
任何想法?
A
回答
2
数据库表名不应加上单引号。
更正SQL:
$q="DELETE FROM $table WHERE cont_id='".$_GET['where']."'";
表和字段名称可以与反引号('),以避免与
在这种情况下,修正SQL应该是:
$q="DELETE FROM `$table` WHERE `cont_id` = '".$_GET['where']."'";
另外,不要从用户的信任输入。
这可能会导致安全漏洞。
使用mysqli_real_escape_string()为$_GET['where']
+0
这是一个很好的做法,用单引号括起变量'''带反引号的表名'' – Ben
+0
这很有道理,谢谢!我对反引号和单引号感到困惑。 – user3484582
1
$table = $_GET['type'];
$q="DELETE FROM $table WHERE cont_id='".$_GET['where']."'";
OR
$table = $_GET['type'];
$q="DELETE FROM `$table` WHERE cont_id='".$_GET['where']."'";
2
在你想要的报价表名,你不得不使用符号 “`”
$table = $_GET['type'];
$q="DELETE FROM `$table` WHERE cont_id='".$_GET['where']."'";
相关问题
- 1. 通过$ _GET传递URL变量为Javascript
- 2. 通过java在SQL查询中传递startDate和endDate时出错
- 3. 错误将变量传递给SQL查询Python
- 4. $ _GET或$ _SESSION传递变量
- 5. SQL将变量传递给子查询
- 6. Webmatrix:将变量传递给SQL查询
- 7. 将变量传递给SQL查询
- 8. sql查询传递的动态变量
- 9. 将PHP变量传递给SQL查询
- 10. sql子查询,传递一个变量
- 11. 错误:只有变量应该通过引用错误传递?
- 12. PHP/SQL语法:将变量传递给SQL查询
- 13. 通过url传递变量来查看
- 14. 通过AjaxPro传递变量
- 15. 通过URL传递变量
- 16. 传递变量通过link_to
- 17. 通过ssh传递变量
- 18. 通过JavaScript传递变量
- 19. 通过传递变量
- 20. 通过AJax传递变量
- 21. 通过XMLHttpRequest传递变量
- 22. 通过值传递时更改变量
- 23. SQL查询通过powershell w /变量
- 24. 将_GET变量传递给mysqli查询时,这仍然有效吗?
- 25. 通过mysqli中的变量传递null ::查询
- 26. 将变量ASP.net VB变量传递给SQL查询
- 27. 传递GET变量时PHP htaccess错误
- 28. 如何通过url传递变量
- 29. 通过url传递一个POST变量
- 30. Codeigniter传递变量错误
你的代码是注射非常脆弱。您应该切换到使用[准备好的语句](http://php.net/manual/en/pdo.prepared-statements.php)。 – Ben