使用会话数据标记的Php SQL注入语句

我试图将$u会话数据和htmlentities（$dnn）插入到一个friend requests表的数据库中，当前的SQL注入如下-

$sql=“插入好友请求（发件人、收件人、状态）
值（“$\u会话[“用户”][“id”]，“4”，“2”）；

尝试此操作，但不使用发送方值的双引号

$sql=“插入好友请求（发件人、收件人、状态）
值（$_会话[“用户”][“id”]、“4”、“2”）

我不明白你想用

htmlentities做什么

你的句子似乎被切断了。但是你应该使用预先准备好的语句。你有错误报告吗？是的，通常我会禁用它。但是删除了禁用的标记，并惊讶地发现没有错误出现。甚至事实上，网页上甚至没有显示html代码页面，非标题代码。甚至不是正确的页面标题。您的错误报告设置必须关闭。您需要连接或使用大括号将变量带到查询中…您仍然应该使用准备好的语句。事实上，我认为您是对的，apache可能会默认关闭这些语句-在前几天迁移到主机，并将我认为它们可能会像我以前的Wamp Apache一样默认打开-我也尝试过使用-$UsrID=“'$\u SESSION[“user”][“id”]'”值（“$UsrID”，“4”，“2”）”来准备语句。但如果他/她说要防止注入，那么这可能是非常错误的。你不知道

$\u SESSION[”用户“][“id”]

这可能会很危险。尝试了这样做，但效果不好，尽管$\u会话[“user”][“id”]没有常用的语法突出显示。htmlentities用于收件人的id，而会话id是添加收件人的用户的id。我还尝试了使用-$UsrID=“'$\u会话[“user”[“id”]准备语句“'VALUES（'UsrID'，'4'，'2'）”，尽管这可能是非常错误的