Mysql
 sql >> Teknologi Basis Data >  >> RDS >> Mysql

PDO - Kesalahan fatal:Panggilan ke fungsi anggota fetch() pada non-objek

Kode Anda memiliki variabel $username di bagian atas pertanyaan Anda, tetapi Anda kemudian memiliki $user di bagian bawah.

Apakah Anda mungkin bermaksud menggunakan variabel yang sama?

$username = ($_GET ['user']);
$sth = $dbh->query( "SELECT username, user_state, last_activity, alerts_unread, conversations_unread, message_count 
  FROM xf_user WHERE username='$user'" );
  //                           ^^ Should this ALSO be $username ?   
$row = $sth->fetch();

Sunting:Oke, sekarang Anda menjadi lucu dengan PDO::ATTR_EMULATE_PREPARES Anda . Perhatikan ini:

Database dan struktur tabel:

Database changed
mysql> show tables
    -> ;
+----------------+
| Tables_in_prep |
+----------------+
| users          |
+----------------+
1 row in set (0.00 sec)

mysql> select * from users;
+----+---------+--------+
| id | userid  | pass   |
+----+---------+--------+
|  1 | Fluffeh | mypass |
+----+---------+--------+
1 row in set (0.00 sec)

Dan beberapa kode PHP yang disalin dari Anda, dengan atribut PDO tambahan:

<?php
    //$username = ($_GET ['user']);
    $username="Fluffeh";

    $dbh = new PDO('mysql:host=localhost;dbname=prep', 'prepared', 'example');
    $dbh->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_OBJ);

    $sth = $dbh->query( "SELECT userid, pass FROM users WHERE userid='$username'" );
    echo "Trying to use $username.\n";
    print_r($sth->fetch());
    echo "----------------------------------------\n\n";
?>

<?php
    //$username = ($_GET ['user']);
    $username="user2693017";

    $dbh = new PDO('mysql:host=localhost;dbname=prep', 'prepared', 'example');
    $dbh->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_OBJ);

    $sth = $dbh->query( "SELECT userid, pass FROM users WHERE userid='$username'" );
    echo "Trying to use $username.\n";
    print_r($sth->fetch());
    echo "----------------------------------------\n\n";
?>

<?php
    //$username = ($_GET ['user']);
    $username="Oh my' or 1=1 or 'm=m";

    $dbh = new PDO('mysql:host=localhost;dbname=prep', 'prepared', 'example');
    $dbh->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_OBJ);

    $sth = $dbh->query( "SELECT userid, pass FROM users WHERE userid='$username'" );
    echo "Trying to use $username.\n";
    print_r($sth->fetch());
    echo "----------------------------------------\n\n";
?>

<?php
    //$username = ($_GET ['user']);
    $username="(select id from users limit 1)";

    $dbh = new PDO('mysql:host=localhost;dbname=prep', 'prepared', 'example');
    $dbh->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_OBJ);

    $sth = $dbh->query( "SELECT userid, pass FROM users WHERE id='$username'" );
    echo "Trying to use $username.\n";
    print_r($sth->fetch());
    echo "----------------------------------------\n\n";
?>

<?php
    //$username = ($_GET ['user']);
    // Changed this one to be a non-string, you might be checking an ID instead.
    $username="(select id from users limit 1)";

    $dbh = new PDO('mysql:host=localhost;dbname=prep', 'prepared', 'example');
    $dbh->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_OBJ);

    $sth = $dbh->query( "SELECT userid, pass FROM users WHERE id=$username" );
    echo "Trying to use $username.\n";
    print_r($sth->fetch());
    echo "----------------------------------------\n\n";
?>

<?php
    //$username = ($_GET ['user']);
    $username="bob'; drop table users; \  
    ";
    // This one is tricker to do in PHP code. I could easily enter this into a text field however.

    $dbh = new PDO('mysql:host=localhost;dbname=prep', 'prepared', 'example');
    $dbh->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_OBJ);

    //$sth = $dbh->query( "SELECT userid, pass FROM users WHERE id='$username'" );
    echo "Trying to use $username.\n";
    print_r($sth->fetch());
    echo "----------------------------------------\n\n";
?>

Dan hasilnya:

    Trying to use Fluffeh.
stdClass Object
(
    [userid] => Fluffeh
    [pass] => mypass
)
----------------------------------------


    Trying to use user2693017.
----------------------------------------


    Trying to use Oh my' or 1=1 or 'm=m.
stdClass Object
(
    [userid] => Fluffeh
    [pass] => mypass
)
----------------------------------------


    Trying to use (select id from users limit 1).
----------------------------------------


    Trying to use (select id from users limit 1).
stdClass Object
(
    [userid] => Fluffeh
    [pass] => mypass
)
----------------------------------------


    Trying to use bob'; drop table users; \  
        .
----------------------------------------

Oh, alasan saya meninggalkan yang terakhir sampai TERAKHIR adalah output ini sekarang di database saya:

mysql> show tables;
Empty set (0.00 sec)

Ya, benar, saya baru saja menjatuhkan meja. Izinkan saya mengatakannya lagi, saya memiliki pernyataan pilih, dan dengan sedikit tipu daya saya memasukkan nilai yang dapat dilakukan SIAPA PUN dengan setengah otak dan niat jahat ke dalam bidang teks, dan MENJAUHKAN TABEL ANDA.

Sekarang, memang, jika Anda mengatur semuanya dengan benar, Anda mungkin mengatur pengguna yang berbeda untuk pernyataan pilih, dan hanya memberi mereka select hak dari database Anda, untuk menghentikan hal semacam ini terjadi - tapi jujur ​​saja... Anda bukan?

Jelas menetapkan bahwa emulasi tidak cukup. Serius, sekarang TOLONG pergi baca jawaban itu , gunakan pernyataan yang sudah disiapkan dan gunakan params jika Anda ingin aman dalam kode Anda.



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. pemicu mysql pemicu tersimpan sudah digunakan oleh pernyataan yang memanggil pemicu tersimpan

  2. mysql_data_seek pdo setara

  3. MySQL:Memisahkan tabel besar menjadi partisi atau tabel terpisah?

  4. GALAT 1049 (42000):Basis data tidak dikenal 'mydatabasename'

  5. Eclipse - tambahkan .jar ke Proyek Web Dinamis