У меня есть этот HTML-форму:Почему это SQL не впрыскивается
<form method="post" action="display.php">
Enter First Name:<input type="name" name="fname"><br><br>
<input type="submit" value="Show details" name="submit">
</form>
У меня есть этот запрос SQL
$fname=$_POST['fname'];
$db = new mysqli("localhost", "root", "","school");
$sql= "SELECT * FROM class1 where fname=$fname";
//print_r($sql);
if($db->query($sql)) {
echo "Success query!";
} else {
echo "Error occurred!";
}
Я практикую инъекции SQL здесь. Я пробовал это: roger; DROP TABLE class1;--
, но это не сработает. даже roger OR 1=1
на входе не работает.
Что означает 'не работает'? Что происходит? – Jens
Просто перед тем, как попытаться ввести некоторые инструкции SQL, запустите скрипт с простым правильным значением и проверьте, работает ли он. –