我有一个非常简单的表,其中包含'受害者'列表以及该类型被销毁的相应编号。我试图使这个信息的输出页,使用此代码:从MySQL中检索值
foreach($victims as $vic)
{
$hits = mysql_query("SELECT amount
FROM victims
WHERE victim = ".$vic);
echo $hits;
print "$vic: $hits <br /><hr>";
}
然而,hits
出来空。我的SQL查询有什么问题?
根据'$ vic'的类型,您很可能具有MASSIVE SQL注入漏洞。或者明确地将它转换为一个整数,如果它是''。(int)$ vic);',或者用引号括起来并且转义它:''“.mysql_real_escape_string($ vic)。”'“); ' – ircmaxell 2010-08-20 17:56:06