sql >> Databáze >  >> RDS >> Mysql

Jak mám napsat PHP $_POST vars ve funkci mysql_query?

Za prvé, pozor na SQL injekce !

Nyní, abyste odpověděli na vaši otázku, zkuste místo toho udělat toto:

$query = mysql_query("SELECT `pass` FROM `database` WHERE `user` LIKE '" . mysql_escape_string($_POST['user']) . "';");

Dělal jsi pár věcí špatně:

  • pomocí = místo LIKE operátor
  • neuzavření hodnoty v dotazu SQL pomocí '
  • neuzavření uživatelského indexu do $_POST pole s '

PS:Měli byste použít mysql_real_escape_string() místo mysql_escape_string() !



  1. mysql_query na PDO a připravené výpisy

  2. Jak propojím jednu tabulku s mnoha různými tabulkami?

  3. Monitorování změn tabulky v Oracle

  4. Stačí mysql_real_escape_string pro Anti SQL Injection?