mysql_real_escape_string()などのログインをエスケープするために使用し1' or '1' = '1ていますが、エスケープするとログインできません。「有効なユーザー名とパスワードを入力してください」というエラーが発生します。関数を削除して使用trim()するだけでも問題なく動作しますが、明らかに SQL インジェクションを回避することはできません。
//$name = trim($_POST['adminname']);
//$pswd = trim($_POST['pswd']);
$name = mysql_real_escape_string($_POST['adminname']);
$pswd = mysql_real_escape_string($_POST['pswd']);
$sql_re=$db->query("SELECT admin_id,name FROM admin WHERE name ='".$name."' AND password = '".$pswd."'");
//$db->result(); // loads results as list of arrays
if($db->row() > 0){
$_SESSION['adminName'] = "admin";
echo '<script>window.location = "index.php";</script>';
}else{
$msg = "Please enter a valid username and password!";
} // loads one result row as associative array
このようなクエリ中にエスケープも試みましたが、まだ機能しません。
SELECT admin_id,name FROM admin WHERE name ='".mysql_real_escape_string($name)."' AND password = '".mysql_real_escape_string($pswd)."'"
試してみましmysqli_real_escape_string()たが、DBエラーが発生したため、MySQLを使用しています。
次に何を試すことができるかについて何か考えはありますか?ありがとう