作者knives ()
看板Web_Design
標題Re: [問題] PHP網頁有問題 mysql_fetch_row():
時間Sat Aug 9 07:06:41 2008
※ 引述《sosokill (隨便殺)》之銘言:
: 因老師要求必須寫出一個登入網頁並搭配Apache和mysql
: 而該登入網頁必須可以使用'or 1=1--的sql injection方法入侵!!
: 我自己寫了一個登入網頁 但是在輸入帳號密碼之後(不論輸入的是否正確)
: 都會跳回登入的頁面,但是會多了一行:
: mysql_fetch_row():supplied argument is not a valid mysql result resource on
: line 24
: 可以請問一下 問題是出在哪邊嗎?該如何解決呢?如果要達到老師的要 $password = $_POST["Password"];
: if ($ID != "" && $password != "") {
: $link = mysql_connect("localhost",“root",“123456");
: mysql_select_db("membertest");
: $sql = "SELECT * FROM users WHERE ID='".ID AND password='".password"';
這裡使用到變數的話,要用 ".$變數."的方式去
寫
: $result = mysql_query($sql);
:<td><input type="password" name="Password"size="15" maxlength="10"></td></tr>
: <tr><td colspan="2" align="center">
: <input type="submit" value="登入網站"></td></tr>
: </table>
: </form>
: </body>
: </html>
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 124.10.212.57
推 sosokill:我將那行改成ID=".ID."ANDpassword=".password."; 08/09 17:27
→ sosokill:但是還是顯是一樣的error耶= = 08/09 17:27
→ knives:遇到變數前面要加上$符號 08/09 20:49
→ sosokill:阿 我忘了打出來 目前是這樣 08/09 21:06
→ sosokill:ID=".$ID."ANDpassword=".$password."";<-兩個" 08/09 21:06
→ weiyucsie:WHERE `ID`='{$ID}' AND `password`='{$password}'" 08/09 23:07
→ weiyucsie:僅供參考XD 08/09 23:07
→ sosokill:我試試看 感謝!! 08/09 23:34
推 sosokill:囧 還是依樣出現WARING的訊息= =" 08/09 23:37
→ weiyucsie:mysql_error研究一下? 他會告訴你錯在哪 08/10 00:18
→ weiyucsie:不過記得在mysql_query後再用 08/10 00:18
→ weiyucsie:#18dMlOFr (PHP版) 感覺有點像 08/10 00:19
→ weiyucsie:不過 要可以sql injection的話 08/10 00:20
→ weiyucsie:mysql_real_escape_string應該要拿掉 08/10 00:20
→ weiyucsie:(好像這個問題可以去php版問XD) 08/10 00:22
→ sosokill:感謝~我去那邊問問看 08/10 01:18