我试图比较两个表单中的$ _GET输入,并将它们添加到SQL语句中,如果它发现数据库中的某些内容。这是SQL代码。
<?php
include('db_connect.php');
$name1 = $_GET['name1'];
$name2 = $_GET['name2'];
$query="SELECT * FROM Stats WHERE `Name` LIKE '$_GET[name1]%' OR '$_GET[name2]%' ";
$res=mysql_query($query);
$num=mysql_numrows($res);
$i=0;
while($i< $num){
$Name = mysql_result($res, $i, "Name");
echo $Name;
$i++;
}
?>
这适用于第一$ _GET [名称1]字段,但是我想回更多,如果NAME2也匹配。任何想法将不胜感激。
这对SQL注入是开放的。使用'mysql_real_escape_string'来避免注入和黑客攻击。 – 2012-07-15 21:33:46
调查PDO并准备报表。避免繁琐和繁琐的手动转义和日期mysql_ *接口。 – mario 2012-07-15 22:24:10