个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
25
4
我有一个有点奇怪的问题,我真的不知道为什么会这样。首先,我尝试使用运行正常的 php 访问数据库。它可以毫无故障地访问它(已检查),所以我很确定它的那个区域是正确的。
我正在使用 php 代码访问查询:
mysqli_query($database, "SELECT * FROM user WHERE username = $username AND password = $password");
它正在访问数据库:
所以问题来了。我正在尝试使用用户名和密码登录。如果我输入错误的用户名,它会拾取并拒绝它,所以用户名部分没有问题。但是,如果我使用正确的用户名和密码,它仍然会因为密码而拒绝它。但是,如果我使用正确的用户名和密码“password”(与列名相同,我已经用不同的列名尝试过,效果相同),只要用户名正确,它就可以工作。
以前,我使用 echo 来确保我输入的用户名和密码都已收到,而且确实收到了。
最佳答案
改变
mysqli_query($database, "SELECT * FROM user WHERE username = $username AND password = $password");
到:
mysqli_query($database, "SELECT * FROM user WHERE username = '$username' AND password = '$password'");
即在您的字符串周围加上引号。
您实际上可能从数据库返回了一个错误...所以您也应该检查一下。
编辑: 另外请注意@MarcelKorpel 关于 SQL 注入(inject)的评论/警告。我上面的解决方案纠正了你的语法错误。 Marcel 的警告纠正了您的方法中的错误 ;-) 重点是如果 $username 或 $password 字符串未经过清理,则可以(例如)输入 SQL 代码由最终用户有效地将您的查询字符串更改为(您)可能(可能)恶意的东西。
关于PHP SQL查询密码必须等于列名才有效,不是实际值?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15613615/
25
4
0
这个问题已经有答案了: When to use single quotes, double quotes, and backticks in MySQL (13 个答案) 已关闭 3 年前。 我正在尝
我需要一个返回某些列值的选择查询。我想要的列以“U_S”开头。 Select * from em 我需要转换上面的查询。 '*' 必须是以下结果(但带有逗号): select COLUMN_NAME
在JPA中设置一对多关系时如何设置外键的列名? 我想将“items_id”的名称更改为“item_id” @OneToMany private List items; 我尝试了以下注释但没有成功: @
我有一个jqGrid列定义如下 name : 'idmycolumn', index : 'idmycolumn', width : 80,
我是否可以编写一个带参数的存储过程,即 mysql 查询,存储过程返回查询的列名? 例如我调用程序: 调用选择器('select * from users') 过程返回列名。使用 informatio
嗨,我刚刚开始学习 sql,我希望使用 concat 将列合并为一个列,但没能做到。我可以在没有 concat 的情况下运行代码,但是当我使用 concat 时,它会给我一个错误代码。谁能告诉我我做错
我们正在使用 java jdk 1.7.0_45,postgresql jdbc 连接器 postgresql-9.3-1100.jdbc41.jar。 这是我们问题的概要,下面粘贴了尽可能多的代码。
import pandas as pd import numpy as np rng = pd.date_range('1/1/2011', periods=6, freq='H') df = pd.
借助 PHP 的 mysqli 扩展,我可以使用 fetch_field() 方法通过 orgname 和 获取列和表的原始(无别名)名称结果中的 orgtable。 PDO 提供了方法getColu
我在 php 中使用 PDO,因此无法使用准备好的语句转义表名或列名。以下是我自己实现它的万无一失的方法吗: $tn = str_replace('`', '', $_REQUEST['tn']);
我想使用 apply 来跨越矩阵的行,并且我想在我的函数中使用当前行的行名。好像不能用rownames , colnames , dimnames或 names直接在函数内部。我知道我可以根据 thi
在编写管理数据的应用程序时,允许最终用户创建或删除最好表示为列的数据类别通常很有用。例如,我正在开发字典构建应用程序;用户可能会决定他们想要向数据添加“备用拼写”字段或其他内容,这可以很容易地表示为另
在我的数据框中,许多列名称以“.y”结尾,如示例所示: dat <- data.frame(x1=sample(c(0:1)), id=sample(10), av1.y = sample(10) ,
在 SQL Server 中,我希望看到 Table_Name 以及数据库中与该 Table_Name 关联的所有列。所以输出应该是这样的: TABLE_NAME COLUMN_N
在我的数据框中,许多列名称以“.y”结尾,如示例所示: dat <- data.frame(x1=sample(c(0:1)), id=sample(10), av1.y = sample(10) ,
在一种情况下,我们动态创建 sql 到 create动态临时表。 table_name 没有问题,因为它是由我们决定的,但是列名是由我们无法控制的来源提供的。 通常我们会使用以下查询检查列名: sel
我有一个数据框,我们可以通过代理 df = pd.DataFrame({'a':[1,0,0], 'b':[0,1,0], 'c':[1,0,0], 'd':[2,3,4]}) 还有一个类别系列 ca
我需要编写一个用户定义的函数,当应用于数据框时,它将返回列位置、列名称、模式和每个变量的类。我能够创建一个返回模式和类的,但是当我包含位置/名称时,我总是收到错误。我一直在这样做, myFunctio
我刚开始使用 QueryDSL 并遇到了问题。是否可以使用列名进行 orderBy?我为 orderBy 动态路径生成找到了这个: Generic querydsl orderBy dynamic p
操作 DataGridView 单元格时,您通常会执行以下操作: MyGrid.CurrentRow.Cells["EmployeeFirstName"].Value = "John"; 这一切都很好
我是一名优秀的程序员,十分优秀!