Mysqli prepared statements

Door haubebla haubebla op 04-12-2013 18:26

2.000 views

Hallo mensen!

Ik gebruik mysqli prepared statements om SQL-injectie te voorkomen.
De volgende code geeft false als output:


$rMysqliPrepare = mysqli_prepare($rMysqli,"
    SELECT
        id
    FROM
        pkfw155654_club
    WHERE
        username = ?
        AND
        mail = ?
    ");

Waar zit de fout dan in mysqli_prepare?
Ik hoop dat jullie me kunnen helpen!

Groetjes van Ravi

Onbekende gebruiker

04-12-2013 18:53

Heb je bij de WHERE wel quotes gebruikt?

WHERE
username = '?'

etc.

Wouter J

04-12-2013 19:03

Frank, dat moet niet bij prepared statements

Onbekende gebruiker

04-12-2013 19:17

Verkeerd gelezen, ik dacht dat het om een query ging.

haubebla haubebla

04-12-2013 19:25

Dat is het dus niet

Wouter J

04-12-2013 19:39

Als je eens foutafhandeling toevoegt, kun je ons dan de error melding geven?

haubebla haubebla

04-12-2013 20:18

Foutafhandeling???
Wat bedoel je daarmee?

Wouter J

04-12-2013 22:48

Kijk eens naar de bestanden "connect.php" en "query-select.php": https://github.com/WouterJ/sql-boilerplate/tree/mysqli/producaal

- Raoul -

04-12-2013 23:09

Ravi, waar ergens in je code stel je de values van username en mail in?

haubebla haubebla

05-12-2013 08:07

@Wouter: ik snap niet wat je bedoelt

[code file="functies.inc.php"]
function registreer_account($sUsername,$sPassword,$sMail) {
$rMysqli = mysqli_connect('localhost','RavithrasworldNL','wePwYVf2Htsx66xy','pkfw155654_club');

if (!$rMysqli) {
service_die(); //exit = intern
}

$rMysqliPrepare = mysqli_prepare($rMysqli,"
SELECT
id
FROM
pkfw155654_club
WHERE
username = ?
AND
mail = ?
");

mysqli_stmt_bind_param($rMysqliPrepare,'ss',$sUsername,$sMail);
mysqli_stmt_execute($rMysqliPrepare);
echo mysqli_stmt_field_count($rMysqliPrepare);
exit;
}
[/code]


registreer_account($_POST['username'],$_POST['password'],$_POST['mail']);

Reageren

Inloggen om te reageren