-4
の特定の部分を選択し、私は、このSQLクエリSQLデータ
$sql_ = "SELECT score FROM users WHERE username=$row['uid']";
を持つテーブルのユーザーがすべてのユーザーは、スコア値とユーザ名を持っています。 $row['uid']は以前のSQL文の変数ですが、このクエリではエラーが発生します。これを修正するにはどうすればよいでしょうか?
Q
SQLデータ
A
答えて
0
SQLインジェクション防止メカニズムを使用する必要があります。 決しては、そのようなクエリで生変数を使用しません。 PDOをご覧ください。 変数をバインドしてからクエリを実行する必要があります。
しかし、あなたが必要なもののためにとONLYテスト目的のために、あなたの変数を引用し、次の点を確認してください。
$sql_ = "SELECT score FROM users WHERE username = '" . $row['uid'] . "'";
関連する問題
- 1. SQL:データ
- 2. SQL結合データ
- 3. Filterデータin Sql
- 4. 移調データSQL
- 5. SQLデータ結合
- 6. 取得データ - SQL
- 7. SQLデータ型エラー
- 8. データはSQLが
- 9. SQLサブクエリ・パス・データ
- 10. MS SQLデータ
- 11. SQLグループ化データ
- 12. サンプルSQLデータ
- 13. SQLクエリは、データ
- 14. SQL Comapare行データ
- 15. sqlデータ保存クエリ
- 16. 戻るSQLデータは
- 17. SQLの重複データ
- 18. SQLの分離データ
- 19. SQL Serverデータのダンプ
- 20. SQLの転置データ
- 21. SQL Server TimeStampデータ型
- 22. SQLデータ重複クエリ
- 23. SQLのデータ複製 -
- 24. データの更新SQL
- 25. SQLのデータ変換
- 26. SQL集約データ行
- 27. SQLジョイン - 列がデータ
- 28. SQL AzureへのSQL Serverデータの転送
- 29. SQLからSQLへのデータ複製
- 30. SQL Server 2005クエリXML列データ
あなたが取得しているエラーメッセージを投稿することができますか? –
エラーは何ですか? PHP変数が評価された後に実行される実際のクエリは何ですか?準備された文をクエリパラメータとともに使用すると、問題が起こりそうになることに注意してください。もはやSQLインジェクションの脆弱性がなくなったという利点があります。 – David
'username'が文字変数の場合は、おそらくあなたが使用している変数を引用する必要があります。 –