dtzh131555 2016-12-04 17:48
浏览 26

循环中的SQL注入不起作用

        <?php
include '../connectdb.php';


$sqlNAME = 'INSERT INTO group_general (group_name)
VALUES (?)';

if($statementNAME = $connect->prepare($sqlNAME)) {

    $statementNAME->bind_param(

        "s",
        $_POST['groupName']
        );

    $statementNAME->execute();
}

$groupName = $_POST['groupName'];

$selectGROUPID = 'SELECT * FROM group_general WHERE group_name = "'.$groupName.'"';

$resultGROUPID = $connect->query($selectGROUPID);

if ($resultGROUPID->num_rows > 0) {
    $rowGROUPID = $resultGROUPID->fetch_assoc();
}

/* The error is somewhere around here~ish */

for ($x=0; $x<sizeof($_POST['addedUsers']); $x++) { 
    $rowUSERS[$x] = $_POST['addedUsers'][$x];

    $sqlUSERS = 'INSERT INTO group_users (user_name, group_id)
    VALUES ("'.$rowUSERS[$x].'", "'.$rowGROUPID['group_id'].'")';

    if($statementUSERS = $connect->prepare($sqlUSERS)) {


    if ($statementUSERS->execute()) {

        echo "Successfully created the group!";

    }
     else {
    echo "Failed to create the group...";
}
}
}
?>

So my issue is whenever a user selects multiple people (so the array $rowUSERS[] becomes more than only the 0 value), it only inserts the first selected user into the DB while it actually should loop through every selected user and insert it one by one. I really don't know what I did wrong here. Can you please look at it and help me?

  • 写回答

1条回答 默认 最新

  • dongzhi6927 2016-12-04 18:39
    关注

    Edit:

    I fixed it, for some reason my group_id row in the DB had a primary key.

    Sorry for bothering you guys,

    ~Lars

    评论

报告相同问题?

  • 在sql多大的数据才算是大数据 java mysql 数据库
    2022-03-31 17:24
    回答 5 已采纳 其实没有实际的标准明确定义多少数据量算大数据,不过阿里开发手册建议,表数据超过500万条时,建议考虑分表,以防影响查询效率,不过我们公司也有单表超过几千万条的数据,效率确实不高,所以理论上百万级别以
  • sleep函数被禁用后怎么进行sql注入 mysql web安全 网络安全
    2022-10-06 21:55
    回答 2 已采纳 通过rpad或repeat构造长字符串,加以计算量大的pattern,通过repeat的参数可以控制延时长短。
  • PreparedStatement防止sql注入的一些疑问? sql
    2018-11-08 10:20
    回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么? SELECT * FROM employees WHERE salar
  • 最详细的SQL注入之报错注入
    2022-06-23 15:51
    真珠柚子的博客 最详细的sql注入之报错注入,非常适合小白!!
  • SQL注入时+--+的意思和作用? sql
    2015-09-16 08:51
    回答 1 已采纳 +是拼接字符串的; --是SQL的注释标记,关键在于这个东西,后面的一切字符串都会比当做注释忽略掉。 注入的目的就是把真实的验证逻辑转移到--后面!不知道说清楚没有,呵呵
  • SQLunion all的使用 sql 数据库 有问必答
    2022-03-20 10:53
    回答 4 已采纳 列名不同没有关系,数据类型相同就行。保持列名一致的话,你可以通过取别名的方式来保证多张表列名相同。 select cast(a.table1 as varchar) as tab from a uni
  • SQL语句order by的问题 sql
    2022-04-14 00:06
    回答 2 已采纳 这本书应该是 sql进阶其实order by也就是对你查询后的结果进行排序 对你的查询结果没有任何影响,只是对结果进行一下排序
  • Flink SQL 在美团实时数仓的增强与实践
    2023-04-03 20:07
    Apache Flink的博客 摘要:本文整理自美团数据系统研发工程师董剑辉&... Flink SQL 在美团2. SQL 作业细粒度配置3. SQL 作业变更支持从状态恢复4. SQL 正确性问题排查能力建设5. 未来展望Tips:点击「阅读原文」查看原文...
  • SQLSUM函数 不能求和 oracle sql
    2019-03-08 16:04
    回答 4 已采纳 group by 后面添加上 要查询的日期, 将日期格式化为年月日。如果是按照天进行分组的话。如果还不明白的话,联系我,帮你写。
  • sql注入问题,万能注入等方面的 sql
    2018-10-23 06:22
    回答 3 已采纳 相当于没有where条件 你这个SQL语句条件是where username= ' ' or 1=1 or '1'='1 ' where 后面就是你的条件, 表示满足这些条件的数据都更新
  • sqlserver存储过程while循环问题 sql
    2015-09-25 02:44
    回答 2 已采纳 这个是按照先后执行的,其实你在调用存储过程时,sqlserver 会有一个会话开着,来执行你的调用, 本质上就是一个新的线程,一个线程内执行的时候是顺序执行的, 当然sql serve
  • SQL编写:十个在实践养成的好习惯
    2024-03-06 21:39
    阿莫 夕林的博客 写SQL是数据分析和数据库管理的重要技能之一。养成以下好习惯可以帮助你编写高效、可靠和易于维护的SQL语句
  • SQL语句关于连接的问题 sql 数据库开发
    2021-08-20 10:34
    回答 2 已采纳 left join的场景罢了,第二种如果是条件不符合的,数据直接查不出来,第一种,left join的条件不成立,主表(score表)的数据还在,所以最终的结果是第一种的数据量>=第二种的数据量
  • Mysql慢SQL的分析与优化
    2021-11-21 20:10
    独行侠梦的博客 为何对慢SQL进行治理从数据库角度看:每个SQL执行都需要消耗一定I/O资源,SQL执行的快慢,决定资源被占用时间的长短。假设总资源是100,有一条慢SQL占用了30的资源共计1分钟。那么...
  • 关于大数据系统及Hadoop系统的概念
    2022-10-18 16:10
    盛者无名的博客 大数据(Big Data)姑且定义为无法被符合服务等级协议(service level agreement,SLA)的单台计算机处理或存储的任何数据集。理论上讲,单台计算机可以处理任意规模的数据,对于超过单台计算机存储量的海量数据,可以...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 有了解d3和topogram.js库的吗?有偿请教
  • ¥100 任意维数的K均值聚类
  • ¥15 stamps做sbas-insar,时序沉降图怎么画
  • ¥15 unity第一人称射击小游戏,有demo,在原脚本的基础上进行修改以达到要求
  • ¥15 买了个传感器,根据商家发的代码和步骤使用但是代码报错了不会改,有没有人可以看看
  • ¥15 关于#Java#的问题,如何解决?
  • ¥15 加热介质是液体,换热器壳侧导热系数和总的导热系数怎么算
  • ¥100 嵌入式系统基于PIC16F882和热敏电阻的数字温度计
  • ¥15 cmd cl 0x000007b
  • ¥20 BAPI_PR_CHANGE how to add account assignment information for service line