在boolean [duplicate]上调用成员函数bind_param（）

This question already has an answer here:

Can I parameterize the table name in a prepared statement? 2 answers

I am currently working through my code and trying to implement measures to protect from SQL injections. My other pages work fine however this page is a little different.

The user is to determine which table they are to delete from, this is by using the $Level variable, (don't worry, this is restricted to three). It worked with the old vulnerable method but doesn't now. Any ideas?

if (isset($_POST['Delete']))
{
$Level = trim($_POST['Level']);
$UserName = trim($_POST['UserName']);
//----------------Check if Exists------------------//
$Check = $conn->prepare("SELECT * FROM ? WHERE UserName = ?");
$Check->bind_param('ss', $Level, $UserName);
$Check->execute();
$result = $Check->get_result();
$count = $result->num_rows;
if ($count>0)
{   
    $Confirm= $UserName . ' Deleted';
    //----------------Delete SQL-------------------//
    $Delete = "DELETE FROM $Level WHERE UserName = '$UserName'";
    $Delete = mysqli_query($conn,$sql);
    header( "refresh:5;url=stratdeleteuser.php" );
}
else 
{
    $Confirm= 'No Matches Found';
}

}

</div>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

doubishi8303 2015-11-07 22:48

关注

An if statement would suffice to protect the user input

if ($Level == 'strategic' || $Level == 'tactical')
{
    //----------------Check if Exists------------------//
    $Check = $conn->prepare("SELECT * FROM $Level WHERE UserName = ?");
    $Check->bind_param('s', $UserName);
    $Check->execute();
    $result = $Check->get_result();
    $count = $result->num_rows;
    if ($count>0)
    {   
        $Confirm= $UserName . ' Deleted';
        //----------------Delete SQL-------------------//
        $Delete = $conn->prepare("DELETE FROM $Level WHERE UserName = ?");
        $Delete->bind_param('s', $UserName);
        $Delete->execute();
        $Confirm = $UserName . ' Deleted';
        header( "refresh:5;url=stratdeleteuser.php" );
    }
    else 
    {
        $CheckErr= 'No Matches Found';
    }
}

I took care of the latter part for you to implement the OO style as Terminus rightfully suggested

本回答被题主选为最佳回答 , 对您是否有帮助呢?

报告相同问题？

关注问题

mysqli bind param问题：在布尔值上调用成员函数bind_param（） php
2017-03-15 18:57

回答 1 已采纳 The quotes in your SQL are wrong. The single quotes in your JSON are terminating the string. Quote
在boolean [duplicate]上调用成员函数bind_param（） php sql
2015-11-07 21:19

回答 1 已采纳 An if statement would suffice to protect the user input if ($Level == 'strategic' || $Level == 't
致命错误：从Android应用程序输入String时，在php中调用boolean上的成员函数bind_param（） mysql php sql
2017-10-15 09:57

回答 1 已采纳 You're using prepare / bind the wrong way... The mysqli_ nameless version : $stmt = $this->co
PHP 函数大全
2018-03-02 18:48

且听海啸的博客 a函数说明abs 绝对值acos 反余弦acosh 反双曲余弦addcslashes 以 C 语言风格使用反斜线转义字符串中的字符addslashes 使用反斜线引用字符串apache_child_terminate 在本次请求结束后终止 apache 子进程...
致命错误：调用成员函数bind_param（） html php
2014-05-11 03:56

回答 1 已采纳 you need to know something Call to a member function bind_param() on a non-object means that $st
致命错误：未捕获错误：在布尔值[duplicate]上调用成员函数fetch_object（） php
2017-06-09 22:23

回答 1 已采纳 You need to add a space when you append your SQL: $sql = "SELECT id, headline, description FROM c
Sqlite在boolean上调用成员函数bindParam（） php sqlite
2018-05-10 08:14

回答 1 已采纳 The variable $stmt is not a PDOStatement object. It is a boolean value (in this case false). Your
php mysql 一行,在PHP / MySQL中只获取一行
2021-01-19 00:15

马斯科蛙的彼得的博客 simple question here.I have a SELECT querySELECT FROM friendzone WHERE ID = '$editID'"I am sure this is going to give me only one row as result, cause ID's can't be duplicate in my DB.How can I access...
PHP PDO：在布尔值上调用成员函数fetch（） php
2018-11-16 02:38

回答 1 已采纳 This line here is one of the reasons. execute returns true or false indicating if the query succee
Codeigniter致命错误在布尔值上调用成员函数result（） mysql php sql
2016-06-28 10:40

回答 1 已采纳 I ran the query without putting return and got a syntax error. The problem was anything regarding
修复mysql错误mysqli_stmt_bind_param（）[重复] mysql php
2016-10-09 05:38

回答 1 已采纳 I think that you might have problem in your connection file mysqli_connect.php Here is my code fo
isnan函数 linux,Eslint 使用详解
2021-05-13 23:03

禄禄有话说的博客一、简介Eslint是一个开源的JavaScript代码检查工具，其作者是大名鼎鼎的“红宝书”《JavaScript高级程序设计》作者 Nicholas C....二、使用的目的和原因1. 统一代码风格，减少review成本和低级错...
警告：mysqli_stmt_bind_param（）期望参数1是mysqli_stmt，给定布尔值？ [重复] php
2014-04-07 20:06

回答 2 已采纳 It seems that you have a missing parameter, you should have 13 parameters and 13 ? check the two p
PHP7函数大全（4553个函数）
2019-05-13 14:28

huidaoli的博客函数说明 abs 绝对值 acos 反余弦 acosh 反双曲余弦 addcslashes 以 C 语言风格使用反斜线转义字符串中的字符 addslashes 使用反斜线引用字符串 apache_child_terminate 在本次请求结束后终止 apache ...
eslint php,怎样使用ESlint
2021-05-05 04:58

明星代言那些事儿的博客这次给大家带来怎样使用ESlint，使用ESlint的注意事项有哪些，下面就是实战案例，一起来看一下。1. 什么是ESlint？ESLint 是一个ECMAScript/JavaScript 语法规则和代码风格的检查工具，它的目标是保证代码的一致性和...
PHP 函数的完整参考手册
2016-11-02 13:50

fancie_wong的博客所有 PHP 函数的完整参考手册： Array 函数 Calendar 函数 cURL 函数 Date 函数 Directory 函数 Error 函数 Filesystem 函数 Filter 函数 FTP 函数 HTTP 函数 LibXML 函数 Mail 函数 Math 函数 Misc 函数 MySQLi ...
May 18：PHP 函数
2018-05-11 18:43

weixin_30444105的博客 abs 绝对值acos 反余弦acosh 反双曲余弦addcslashes 以 C 语言风格使用反斜线转义字符串中的字符addslashes 使用反斜线引用字符串apache_child_terminate 在本次请求结束后终止 apache 子进程apache_getenv 获取 ...
vscode php配置出错,vscode eslint配置失败怎么办
2021-05-07 11:41

weixin_39547392的博客 vscode eslint配置失败怎么办？VSCode配置ESLint1、打开终端，运行npm install eslint -g全局下载ESLint。...自定义配置4、设置完成后会在当前目录下生成一个名为.eslintrc.js 的配置文件，可以自己按个人...
没有解决我的问题, 去提问

悬赏问题

¥15 关于#hadoop#的问题
¥15 (标签-Python|关键词-socket)
¥15 keil里为什么main.c定义的函数在it.c调用不了
¥50 切换TabTip键盘的输入法
¥15 可否在不同线程中调用封装数据库操作的类
¥15 微带串馈天线阵列每个阵元宽度计算
¥15 keil的map文件中Image component sizes各项意思
¥20 求个正点原子stm32f407开发版的贪吃蛇游戏
¥15 划分vlan后，链路不通了？
¥20 求各位懂行的人，注册表能不能看到usb使用得具体信息，干了什么，传输了什么数据

码龄粉丝数原力等级 --

在boolean [duplicate]上调用成员函数bind_param（）

1条回答默认最新

码龄粉丝数原力等级 --

悬赏问题

在boolean [duplicate]上调用成员函数bind_param（）

1条回答 默认 最新

悬赏问题

1条回答默认最新