Код ошибки синтаксиса SQL 1064

Это выглядит как $m оценивает пустую строку, основанную на сообщении об ошибке.

Это выглядит как $this->input->post('member') также оценивает пустую строку.

update chatusers set money = money - where user = ''
^              ^

Потому что, если эти два оцениваются как непустые строки (скажем, например, 'foo' а также 'bar' соответственно) мы ожидаем, что SQL будет таким:

update chatusers set money = money - foo where user = 'bar'
^^^               ^^^

К счастью, $m не оценивать в более гнусную строку. Такие как money WHERE 1=1 --

Который произвел бы утверждение как это:

update chatusers set money = money - money WHERE 1=1 -- foo where user = ''

Симптом проблемы — неверный синтаксис. Реальные проблемы здесь: 1) потенциал для SQL-инъекций (мы не видим, какие значения содержит $ m), и 2) код создает неверный оператор SQL.

Ради всего хорошего и прекрасного в этом мире … Я не могу подчеркнуть это достаточно … использовать готовые заявления с связывать заполнители.

Например:

  $sql = 'UPDATE chatusers SET money = money - ? WHERE user = ?';
$this->db->query($sql, array(0, 'me'));