我有以下代码:快速的mysql_query()问题
mysql_query("SELECT * FROM list WHERE name LIKE '%'$searchTerm'%' OR description LIKE '%'$searchTerm'%';");
唯一的问题是,在纯SQL,这样的查询将如下所示:
SELECT * FROM list WHERE name LIKE '%asdf%' OR description LIKE '%asdf%'
我感到困惑的是什么是如何正确地将我的变量放入字符串中,通常mysql_query中的变量将被单引号括起来,但在SQL中添加单引号会使我感到困惑。
我试过连接.
但我不认为这是一个好的解决方案。
那么首先,这是开放的SQL注入攻击......见http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection -in-PHP。 – mellamokb 2011-02-22 22:59:11
我提前逃脱了字符串,新变量很好。 – AKor 2011-02-22 22:59:50
好的,只是想确保:) – mellamokb 2011-02-22 23:00:16