請幫我弄清楚這一點。第一個查詢將返回一個消息,說PHP MYSQL無法執行查詢:未知列
Couldn't execute query: Unknown column 'ssd23' in 'where clause.
ssd23
是$_POST
將獲得來自HTML表單的pnumber值。但是,如果只有數字,它將起作用。
$result = mysqli_query($con, "DELETE FROM Tools WHERE PartNumber = {'$_POST['pnumber']'}") or die ("Couldn't execute query: " .mysqli_error($con));
下面的第二個查詢可以在使用變量後使用數字和字符。
有這個代碼SQL注入漏洞,這將意味着你的網站將通過在短期內餅乾被拆除。請不要使用這個代碼! – halfer
使用預準備語句將動態輸入傳遞到SQL查詢中。它們專爲提高安全性而設計,*和*它們將幫助您避免將來出現此類特定問題。 – DCoder
顯然,* value *有一個缺失的引用,然後將其視爲* field name *。有趣的是,您已經無意識地利用了自己的代碼的SQL注入漏洞:D –