MySQL num_rows返回误报

I have this query below:

// They have a token and estimate id
if (isset($_GET['estimate_token']) && isset($_GET['estimate_id']))
{
    if ($select = $db -> prepare("SELECT estimate_id FROM estimates WHERE estimate_token =?"))
    {
        $select -> bind_param('s', $_GET['estimate_token']);
        $select -> execute();
        $select -> store_result();
        $select -> bind_result($estimate_id);
        $select -> fetch();
        if ($select -> num_rows == '0')
        {
            header ("Location: ./login.php");
        }else{
        }
        $select -> close();
    }
}

Customers are given a link via email with the token and an estimate id from the database. When they click the link it brings them to the correct estimate. The problem I am having is that if the customers manually replaces the estimate_id or estimate_token with any number in the url it still keeps you on the website where it should kicking you to the login.php. This is bad because it allows customers to view other estimates in the system.

I think the problem lies in the $select -> num_rows throwing a false positive.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

dongruoqiong9017 2016-11-15 17:49

关注

You logic is invalid - you must find a record where both token and id equals to $_GET values, so you need to use query like:

$SELECT estimate_id FROM estimates WHERE estimate_token =? AND estimate_id = ?

This will select only one certain record.

Full code is something like:

if ($select = $db -> prepare("SELECT estimate_id FROM estimates WHERE estimate_token = ? and estimate_id = ?"))
{
    // supposing id is `int`
    $select -> bind_param('si', $_GET['estimate_token'], $_GET['estimate_id']);
    $select -> execute();
    $select -> store_result();
    // if you need to know just if row exists
    // there's no need for this two lines
    //$select -> bind_result($estimate_id);
    //$select -> fetch();
    if ($select -> num_rows == 0)
    {
        header ("Location: ./login.php");
    } else {
    }
    $select -> close();
}

本回答被题主选为最佳回答 , 对您是否有帮助呢?

查看更多回答(2条)

报告相同问题？

关注问题

MySQL num_rows返回误报 mysql php
2016-11-15 17:40

回答 3 已采纳 You logic is invalid - you must find a record where both token and id equals to $_GET values, so y
mysql_num_rows（）期望参数1是资源错误[重复] mysql php
2013-10-16 13:37

回答 3 已采纳 You may try this:- $numrows = $query->num_rows;
错误日志中的mysql_num_rows mysql php
2012-04-15 21:41

回答 4 已采纳 You put two functions into each other directly: mysql_num_rows(mysql_query(...)); Technically t
史上最详细大数据基础知识
2023-03-11 17:25

djyjx的博客 大数据知识详解
mysql_num_rows没有工作的那种 mysql php
2014-05-28 08:42

回答 1 已采纳 No matter what, the end value of jalfd is N/A With your Logic, the value of $jalfd after the
关于PHP-数据库的数据读取，Trying to get property 'num_rows' of non-object？ mysql php
2019-07-18 22:39

回答 3 已采纳 if ( $result->num_rows > 0 ) 改成$result['num_rows']就好了
为什么mysqli_num_rows总是返回false [duplicate] php
2017-01-06 17:16

回答 1 已采纳 If this is not your whole script, you need to initialize error to some value before concatenating
MySQL之零碎知识点
2022-06-28 18:21

一户董的博客本部分用来记录MySQL学习过程中比较小的零碎知识点，分享出去的同时也方便自己后续查看。慢日志主要参数如下：如下设置：为了测试效果将long_query_time设置为0，这样所有执行的sql语句都会记录到慢日志中，比如...
mysql_num_rows（）错误 html php sql
2013-01-04 14:48

回答 7 已采纳 Remove the semicolon because that terminates the statement and the or die is treated as a new stat
mysql_num_rows变量保持值为NULL html5 mysql php sql
2015-05-17 11:18

回答 2 已采纳 mysql_* functions are deprecated, so please don't use them anymore. Use PDO_mysql or MySQLi instea
mysql_num_rows null php sql
2016-02-04 10:21

回答 1 已采纳 Using mysql_free_result($query) will free the memory related to $query. So any functions after thi
2023年大数据面试通关文牒系列篇
2023-06-20 22:16

AuZn666的博客 大数据面试通关文牒系列篇第二篇：Hadoop生态链 Round 1: HIVE HIVE 基础篇 1、Hive内部表和外部表的区别未被external修饰的是内部表，被external修饰的为外部表。区别：内部表数据由Hive自身管理，外部表数据由...
如何在php中表达DB2数据库的mysql_num_rows php
2016-04-14 12:05

回答 2 已采纳 There is a corresponding db2_num_rows() function if you enable the db2 extension for php.
大数据之hive 阿善看到
2020-11-01 22:57

okbin1991的博客 Hive通过给用户提供的一系列交互接口，接收到用户的指令(SQL)，使用自己的Driver，结合元数据(MetaStore)，将这些指令翻译成MapReduce，提交到Hadoop中执行，最后，将执行返回的结果输出到用户交互接口。...
MySQL高级（SQL优化）
2022-12-18 23:15

CODER-V的博客 MySQL高级一、字符集 1.1、4个级别的字符集 1.2、字符集小结 1.3、字符集与比较规则 1.4、请求到响应过程中字符集的变化二、SQL大小写规范 2.1、Windows和Linux平台区别 2.2、Linux下大小写规则设置 2.3、SQL编写...
大数据开发面试知识点复习2
2022-04-26 20:40

爱敲代码的小黑的博客文章目录大数据开发复习课程1、Hadoop1.1、介绍Hadoop1.2、Hadoop特性优点1.3、hadoop集群中hadoop都需要启动哪些进程，他们的作用分别是什么？1.4、Hadoop主要的配置文件1.5、Hadoop集群重要命令1.6、HDFS的垃圾桶...
大数据常见错误
2021-07-30 11:46

Gklearlove的博客聚合函数不能用UDF，而应该定义UDAF 73、SPARK SQL replacement for mysql GROUP_CONCAT aggregate function 解决方法：自定义UDAF 74、在intellij idea的maven项目中，无法New scala文件解决方法：pom.xml加入...
MySQL数据库学习笔记零基础入门面试整理
2022-02-17 15:23

id-liny的博客一、MySQL基础篇 1. 数据库技术的基本概念和方法 1.1 数据库基本概念 1】数据数据（Data）指对客观事物进行描述并可以鉴别的符号，这些符号是可识别的、抽象的，不仅仅指狭义上的数字，而是有多种表现形式：字母、...
大数据最佳实践-hive
2021-04-21 08:06

猿与禅的博客目录概述安装 MYSQL安装 Hive 元数据配置到 MySQL 使用 JDBC 方式访问 Hive Hive 其他命令操作常见配置数据类型类型转化 DDL 数据定义管理表（内部表）外部表管理表与外部表的互相转换修改表 DML 数据导出 ...
MySQL这一章就够了(二)
2021-09-03 13:09

Dust | 糖的博客 redo log redo log通常是重做日志(物理...防止在发生故障的时间点，尚有脏页未写入磁盘，在重启mysql服务的时候，根据redo log进行重做，从而达到事务的未入磁盘数据进行持久化这一特性。RedoLog是为了实现事务的持久
没有解决我的问题, 去提问

悬赏问题

¥15 fluent的在模拟压强时使用希望得到一些建议
¥15 STM32驱动继电器
¥15 Windows server update services
¥15 关于#c语言#的问题：我现在在做一个墨水屏设计，2.9英寸的小屏怎么换4.2英寸大屏
¥15 模糊pid与pid仿真结果几乎一样
¥15 java的GUI的运用
¥15 Web.config连不上数据库
¥15 我想付费需要AKM公司DSP开发资料及相关开发。
¥15 怎么配置广告联盟瀑布流
¥15 Rstudio 保存代码闪退

码龄粉丝数原力等级 --

MySQL num_rows返回误报

3条回答默认最新

码龄粉丝数原力等级 --

悬赏问题

MySQL num_rows返回误报

3条回答 默认 最新

悬赏问题

3条回答默认最新