$sql = "SELECT email FROM family WHERE family = '$family'";
$result = mysql_query($sqll)or die(mysql_error());
这是正确的方式来获取php变量到MySQL查询?Mysql取PHP变量
$sql = "SELECT email FROM family WHERE family = '$family'";
$result = mysql_query($sqll)or die(mysql_error());
这是正确的方式来获取php变量到MySQL查询?Mysql取PHP变量
这可以工作。但是,它很容易受到SQL injection的影响。
这是更安全:
$sql = sprintf("SELECT email FROM family WHERE family = '%s'",
mysql_real_escape_string($family));
$result = mysql_query($sql);
从我的知识最好的方式来使用这样的:
如果$家庭不是字符串
$sql = "SELECT email FROM family WHERE family = ".$family;
如果有字符串比较,那么,
$sql = "SELECT email FROM family WHERE family = '".$family."'";
的代码有一个类型错误
$sqll
不是defined.it必须$result = mysql_query($sql)
。
我相信这是你要找的......(因为这个问题太含糊这可能是因为你有你不可能跟踪误差),如果你使用PHP/MySQL的我就开始
'$ family =“'OR(DROP DATABASE foo)OR'”' – gahooa 2012-01-11 05:03:50
我想过在看到http://stackoverflow.com/questions/60174/best-way-to-stop-首页上的sql-injection-in-php也是如此。 – atxdba 2012-01-11 05:09:43