我想我的MySQL查询取决于PHP变量(会话)的内容 是不同的它必须是这样的:PHP MYSQL待办事项且仅当PHP会话变量存在
if ($_SESSION['session_id'] != NULL) {
$var1 = "and id = '$_SESSION[session_id]'";
}
$result = mysql_query("
SELECT field1, field2
FROM table
WHERE name = '$_GET[name]' $var1
") or die(mysql_error());
这将是:WHERE name = '$_GET[name]' and id = '$_SESSION[session_id]'
或:WHERE name = '$_GET[name]'
我该怎么做?谢谢。
极易注入攻击:
要像你想我会使用创建查询。我希望这不是现场。 – Daedalus 2013-04-27 21:10:41
嘿@达达卢斯,你能告诉我安全的方式吗? – slackmart 2013-04-27 21:11:55
不,这不是现场...这仅仅是一个例子,但为什么它很脆弱? – Laurent 2013-04-27 21:12:00