我正在编写一个脚本,用户只需找到存储在MySQL数据库中的消息及其用户名
('SELECT * FROM messages WHERE username = ' . $_SESSION['username'] . ' ')
输出。来自'where子句'
的未知列'John'答案 0 :(得分:1)
您的脚本对SQL注入开放。请阅读http://php.net/manual/en/security.database.sql-injection.php。
回答你的问题。您缺少用户名字符串周围的双引号。
('SELECT * FROM messages WHERE username = "' . $_SESSION['username'] . '" ')
^ ^