【发布时间】:2014-04-24 18:30:51
【问题描述】:
$query = "
SELECT N.N_ID
, P.P_ID
, P.P_F_NAME
, P.P_L_NAME
, P.P_ADDR
, NP.VISIT_TIME
, N.N_LN_NAME
, N.N_SPEC
, M.M_DESC
, NM.M_DOSE
FROM NURSE N
, patient P
, n_visit_p NP
, MEDIC M
, n_provide_m NM
WHERE N.N_ID = NP.N_ID
AND P.P_ID = NP.P_ID
AND M.M_ID = NM.M_ID
AND NP.N_ID = NM.N_ID
AND NP.P_ID = NM.P_ID
, **N.N_ID='{$_GET["nurse_id"]}'**;
");
$result = mysqli_query($con,$query);
这是我的代码的一部分,我尝试通过 $_GET 比较 HTML 输入...。
“nurse_id”是 HTML 中的表单名称,我通过它接收输入。
我什至用$N_ID= $_GET["nurse_id"]"尝试过
但它不工作任何一种方式......
我得到的结果是所有护士的详细信息,但不是特定选定的护士......
【问题讨论】:
-
可爱的SQL injection attack 漏洞。坐下来放松一下。很快就会有人破坏您的服务器并使您的问题变得毫无意义。
-
'moot' - 我不喜欢这个词;北美意思几乎是英文意思的反义词:-(
-
@Strawberry - 谢谢,现在我正在研究 moot 的各种定义;)