dongyishen5796 2013-07-10 14:19
浏览 241

在PHP中解析和回显SQL结果

I'm trying to write a simple PHP guestbook after following a few tutorials online. I am able to write to the database without any issues; however, when I try to parse through the existing comments and "echo" them back to the page, I am not seeing anything being displayed.

Is there an obvious reason for this?

(The code in question starts under "Existing Comments:")

<?php
require_once('includes/config.inc.php');
define('DB_GUEST','guestbook_db');

// Connect
$mysqli = @new mysqli(DB_HOSTNAME,DB_USERNAME,DB_PASSWORD,DB_GUEST);

// Check connection 
if (mysqli_connect_errno()) { 
printf("Unable to connect to database: %s", mysqli_connect_error()); 
exit(); 
} 

// POST
if($_SERVER['REQUEST_METHOD'] == 'POST') {
    $now = time();
    $name=($_POST['name']);
    $message =($_POST['message']);

$sql = "insert into comments (name,message,timestamp) values  ('$name','$message','$now')";

    $result = $mysqli->query($sql) or die($mysqli->error.__LINE__);
}
?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title>Guest Book</title>
</head>
<body>

<h3>Post A Comment:</h3>
<form action="index.php" method="post">
   <strong>Name:</strong><br/> <input type="text" name="name" /><br/>
   <strong>Comment:</strong><br/> <textarea name="message" rows="5" cols="25">           
<textarea><br/>
<input type="submit" value="Go">
</form>

<h3>Exisiting Comments:</h3>

<?php
$sql1 = "select * from guestbook_db.comments";
$allPostsQuery = $mysqli->query($sql1) or die($mysqli->error.__LINE__);

if(!mysql_fetch_rows($allPostsQuery)) {
    echo "No comments were found!";
} else {
while($row = mysql_fetch_assoc($allPostsQuery)) {
echo "<b>Name:</b> {$comment[1]} <br/>";
echo "<b>Message:</b> {$comment[2]} <br/>";
echo "<b>Posted at:</b> " .date("Y-d-m H:i:s",$comment[3]). " <br/><hr/>";
    }
}
?>
</body>
</html>
  • 写回答

1条回答 默认 最新

  • dongqian5639 2013-07-10 14:30
    关注

    Well, first off I have to make an obligatory warning about using $_POST variables directly. Your user could have put anything there, SQL injection strings included. Sanitize your data by using a PDO or parameterizing with mysqli.

    With that out of the way, you are using the variable

    $comment

    when you should be using 

    $row

    as that is what you named the record variable in your while loop. Further, you've called mysql_fetch_assoc (should be mysqli's fetch_assoc() as well, you are mixing up mysql with mysqli - use the mysqli ones) which returns an associative array, not a index numbered one as you are assuming when you call $comment[1] for example.

    In short, just some silly mistakes, but also go and read the docs on PHP's mysqli and about SQL injection.

    评论

报告相同问题?

  • 回显条件下的命令执行判断和利用方式研究
    2024-06-24 16:00
    白帽子008的博客 在渗透测试、漏洞挖掘或安全研究的过程,我们会遇到很多无回显的命令执行点。面对这些无回显的命令执行点,我们很难获取命令执行结果,甚至无法判断命令是否执行成功。本篇文章主要讨论面对这些无回显的命令执行点...
  • SQL注入
    2022-09-20 23:40
    yb0os1的博客 sql注入
  • SQL注入漏洞
    2024-07-02 10:20
    承悦不会玩的博客 SQL 注入(SQL Injection)是一种常见的网络攻击技术,攻击者通过在应用程序的输入字段插入恶意的 SQL 代码,从而改变原本的 SQL 查询语句的逻辑,以达到非法访问、修改或删除数据库数据的目的。
  • 大数据技术之数据安全与网络安全——CMS靶场(文章管理系统)实训
    2023-11-24 23:38
    星川皆无恙的博客 数据与网络安全作为保障大数据系统正常运行的基石,同样备受关注。...本文通过CMS靶场实训,深入分析CMS系统的安全漏洞,探讨防范措施,提供实战经验和攻防能力,有助于加强大数据与网络安全意识。
  • 【网安小白成长之路】8.sql注入操作
    2024-04-19 15:03
    syst1m'的博客 SQL注入(SQL Injection)是一种常见的网络攻击手段,攻击者通过在应用程序预先定义好的查询语句的结尾上添加额外的SQL代码,来欺骗后台数据库服务器执行非授权的任意查询,从而获取或篡改数据。其主要原因是...
  • sql 学习
    2024-04-21 16:39
    DaenerysTargaryen的博客 null ​ sql指南之null值用法_sql null-CSDN博客 null 和 ‘’ 的区别 null 表示未知 或者不存在 空字符串‘’是有效的字符串值,长度为0 1)null在聚合函数(sum,avg,min,max)会被直接过滤掉,而''不会被过滤掉 ...
  • 基于ysoserial的深度利用研究(命令回显与内存马)
    2024-06-20 16:30
    网络安全技术分享的博客 很多小伙伴做反序列化漏洞的研究都是以命令执行为目标,本地测试最喜欢的就是弹计算器,但没有对反序列化漏洞进行深入研究,例如如何回显命令执行的结果,...本篇文章就在此基础上讲一讲如何进行命令回显和加载内存马。
  • PHP $_GET 变量
    2025-07-14 19:11
    yingjuxia.com的博客 GET 方法将数据附加在 URL ,形式如,适合传递非敏感、小量数据,如搜索查询或页面参数。$_GET是 PHP 处理 URL 查询字符串的强大工具,适合搜索、分页等场景。通过清理输入、验证数据和结合数据库操作,开发者...
  • SQL注入学习笔记
    2023-03-29 13:18
    玻璃洲的博客 那么,rand()函数存在一定的随机性,所以group by后面的值两次计算结果可能不一致,但是这个运算的结果可能在虚拟表已经存在了,那么这时候吧值插入到虚拟表就会导致主键重复,进而引发错误。一个GBK编码汉字,...
  • Hive 3.x详细笔记
    2022-10-18 12:56
    会飞的鱼216的博客 itcastAndhima特点:如果任意一个元素为null,结果就为null null​ 功能语法 测试 itcast-and-heima特点:任意一个元素不为null,结果就不为null itcast-And功能语法 测试 [“a”,“a”,“a”,“b",...
  • 常见的PHP问题
    2019-12-11 11:33
    fareast_mzh的博客 * Apache, nginx区别 1.Nginx比Apache更轻量级,使用更少的内存及资源 ...3.Nginx除了可以提供web服务还可以提供反向代理服务和邮件服务 4.Nginx 静态处理性能比 Apache 高 3倍以上 5.apache适合处理动态请...
  • 《计算机网络》课程大作业- 《小区局域网的设计和规划》
    2024-11-21 23:14
    lisangsimida的博客 8.1首先,在满足用户需求方面,通过详细的需求分析,充分考虑了居民和物业管理的不同业务需求。对于居民,无论是日常的高清视频播放、在线游戏、远程办公还是智能家居设备的连接,网络都能提供稳定的高速带宽支持。...
  • ctfshow web学习记录
    2022-09-25 10:40
    练习两年半的篮球选..哦不对安全选手的博客 |\||`|~|\[/ 最少一个符号否则就输出false 匹配sysmbo1,必须有+ / * - 之一,之后将三个参数和在一块,eval()运行 这让我想起了data的伪协议,正好没有被过滤,真的有这么巧吗 我们尝试一下 写一个脚本,方便...
  • 8、网络安全攻击与防护全解析
    2025-09-09 02:32
    meat5的博客 本文全面解析了网络安全领域的常见攻击类型及其防护措施,包括无线网络安全的WEP协议漏洞与防护、社会工程学攻击的常见手段与防范方法、DDoS攻击、XSS攻击和SQL注入攻击的原理与应对策略。同时,文章还对各类攻击...
  • SQL注入之类型及提交注入
    2022-04-20 11:20
    一块金子的博客 在真实 SQL 注入安全测试,我们一定要先明确提交数据及提交方法后再进行注入,其提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试我们也必须满足同等的操作才能进行注入。 简要明确参数类型 ...
  • 网络安全面试一般问什么知识?
    2024-11-30 17:01
    网安这样学的博客 (★★) 横向渗透,wmic如何构造有回显的命令执行? (★★) windows应急响应,需要查看哪些安全日志ID,分别对应哪些攻防场景,如果该windows主机为域控,又应该查看哪些事件日志?(★★★) golden ticket和sliver...
  • 2025年云南省职业院校技能大赛“网络安全”赛项(职组)竞赛样题
    2025-09-01 14:53
    旺仔Sec的博客 假定你是某企业的网络安全渗透测试工程师,负责企业某些服务器的安全防护,为了更好的寻找企业网络可能存在的各种问题和漏洞。你尝试利用各种攻击手段,攻击特定靶机,以便了解最新的攻击手段和技术,了解网络黑客...
  • 【赛博保安】安全Web日记SQL注入漏洞&文件上传漏洞&间件漏洞&WAF绕过&XSS、CSRF、SSRF漏洞(三)
    2024-12-31 10:05
    生命是有光的的博客 ✍、【赛博保安】安全Web日记SQL注入漏洞&文件上传漏洞&间件漏洞&WAF绕过&XSS、CSRF、SSRF漏洞(三)
  • 没有解决我的问题, 去提问