堆棧內存溢出
  簡體   English   中英

通過數據庫獲取結果的問題,其中會話ID登錄在用戶ID中,我將不得不檢查通過鏈接獲取的uid

[英]Issue with getting result by database where session id is logged in user id and I would have to check uid which i am getting by link

 原文  2015-04-10 19:13:45       php/ mysql

問題描述

$getwhole_messages = $db->query("
SELECT * FROM `user_messages` 
WHERE `sender_id`='".$_SESSION['RVuser']."' ||
`reciever_id`='".$_SESSION['RVuser']."' &&
`sender_id`='".$_GET['uid']."' ||
`reciever_id`='".$_GET['uid']."'"
);

我想放在哪里檢查,讓我知道會話ID與uid匹配。 它將在sender_id或reciever_id中。

2 個解決方案

解決方案1
 0  2015-04-10 19:35:13

除了tadman所說的(您有遭受SQL注入攻擊的嚴重風險)之外,對此發表評論的時間太長了,這個查詢太開放了。

存在以下任何一種情況時,您具有此匹配項:

條件1:當sender_id = $ _SESSION ['RVuser']

條件2:當receiver_id = $ _SESSION ['RVuser']和sender_id = $ _GET ['uid']

條件3:當receiver_id = $ _GET ['uid']

因此,由於情況3,某人將您的頁面加載為?uid=#即可獲取信息。

解決方案2
 -1  2015-04-10 19:24:42

始終清潔易受傷害的輸入! 我假設您在示例中使用的是MySQLi。 

$select = sprintf("SELECT * FROM user_messages WHERE sender_id=%d || reciever_id=%d && sender_id=%d || reciever_id=%d;",
  $_SESSION['RVuser'],
  $_SESSION['RVuser'],
  $db->real_escape_string($_GET['uid']),
  $db->real_escape_string($_GET['uid'])
);

if($getwhole_messages = $db->query($select))
  // Prosess results
} else {
  // Output Query error
}

請提供錯誤詳細信息,以便我們提供更多答案。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 獲取WordPress的登錄用戶ID 我在數據庫中有 3 個具有不同 id 的用戶,當我接受或拒絕時,它不斷獲取循環的最后一個用戶 id? 我想要一個動態的 id,即如果我刪除 id 2,則 id 3 變為 Id 2 Moodle:在用戶登錄時獲取用戶ID 從FOSUserBundle中的登錄用戶獲取用戶標識 資源 ID #4 為什么我會得到這個? 從數據庫中獲取 id 並將其放入 session id 如果直接粘貼檢查會話是否已設置的頁面鏈接,為什么會收到通知錯誤? 當我有 $request->all() 時,將登錄用戶的 ID 保存到數據庫 在Wordpress 3.4中未獲取登錄用戶ID
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM