21.02.2011, 23:40
|
|
Участник форума
Регистрация: 10.09.2009
Сообщений: 120
С нами:
8772211
Репутация:
56
|
|
Сообщение от asql
Если кому нибуть не в лом, из знатоков, прошу объяснить новичку элементарную вещь.
При простом заросе в базу данных типа:
$db=mysql_query("SELECT * FROM table WHERE id='$_GET['id']' ");
$db=mysql_fetch_array($db);
и при вводе в url адреса http://site.ru/index.php?id=1' выдает ошибкуWarning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in...
...и дальше не идет...
тоесть при вводе http://site.ru/index.php?id=1'+order+by+1--
все равно выдает ошибку...
Казалось бы золотая sql'ka, но разобратся с этим ни как не могу.
Заранее спс!
Не знаю, что и куда ты там вводишь, но твой скрипт даже не запуститься, потому что он синтаксически неверен.
Правильно:
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM table WHERE id=' "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'id'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]" ' "[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_fetch_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]);
[/COLOR][/COLOR]
Эксплуатация:
Код HTML:
1' order by 1,2,3,4,5,6,7,8,9,10-- a
И так далее.
Ну и magic_quotes должны быть off соответственно.
|
|
|