Unknown column 'a' in 'where clause

**andrewhrc** · 14-01-2013, 12:19

salve a tutti la seguente query

codice:

$ris = mysql_query("SELECT * FROM lista_utenti WHERE utente=".$user,$db);

mi da l errore
Unknown column 'a' in 'where clause

'a' è il valore si $user . è come se cercasse un nome campo ='a' ma io voglio cercare un record che abbia 'a' come valore nel campo utente

**optime** · 14-01-2013, 12:25

ti sei già risposto da solo

'a' deve essere tra apici

**andrewhrc** · 14-01-2013, 13:50

ma 'a' non cè nel codice

c'è la variabile $user

**andrewhrc** · 14-01-2013, 14:00

ok ho risolto così

codice:

$ris = mysql_query("SELECT * FROM lista_utenti WHERE utente='$user'",$db);

**optime** · 14-01-2013, 14:12

optime!

**in the web** · 16-01-2013, 10:05

Originariamente inviato da andrewhrc
ok ho risolto così

codice:

$ris = mysql_query("SELECT * FROM lista_utenti WHERE utente='$user'",$db);

E se un nome utente contiene un apostrofo?

**andrewhrc** · 16-01-2013, 10:25

ah giusto buona osservazione... devo fare il controllo sulla fase di registrazione per impedire nome utente con apostrofo ..è anche una questione di sicurezza contro gli hackeraggi

**in the web** · 16-01-2013, 10:44

Eh no

Il problema degli "hackeraggi" (SQL inection) in teoria rimane: uno può scrivere come nome utente:
'; DROP TABLE lista_utenti; SELECT '

Sostituisci $user con questa stringa, e vedrai cosa diventa. Ma se hai una versione non vecchissima di PHP questo tipo di attacco non funziona, perché mysqli_query() può lanciare solo una query alla volta.

Ma anche così ti consiglierei di finire la tua query con ;

Invece, per gestire l'apostrofo, dovresti sostituire "'" con "''" (doppio apostrofo) usando la funzione PHP str_replace().

**andrewhrc** · 16-01-2013, 11:28

sincermente non so che versione di php ho sul server..dovrei cercare un po.
non ho capito bene l utilità del doppio apice e come dovrei usarlo ti puoi spiegare meglio?

**in the web** · 16-01-2013, 11:52

Supponi di avere questa query:

$user = $_POST['user'];
$sql = "SELECT pwd FROM users WHERE user='$user'";

Ma un utente scrive:
'; DELETE FROM users WHERE 1 OR '

Il valore di $sql diventerà:

SELECT pwd FROM users WHERE user=''; DELETE FROM users WHERE 1 OR ''

La prima query non trova niente.
La seconda ha una where che è sempre vera (grazie a 1) e quindi cancella tutte le righe di users.
Si chiama SQL injection: nella tua SELECT è stata "iniettata" una pericolosissima DELETE!

Ma se sostituisci ' con '' diventa:

SELECT pwd FROM users WHERE user='''; DELETE FROM users WHERE 1 OR '''

che non trova niente ma è innocua.

Discussione: Unknown column 'a' in 'where clause

Strumenti discussione

Ricerca discussione

Visualizza

Unknown column 'a' in 'where clause

Permessi di invio