$sql = "SELECT email FROM family WHERE family = '$family'";
$result = mysql_query($sqll)or die(mysql_error());
mysql 쿼리에 PHP 변수를 가져 오는 올바른 방법입니까?mysql에서 PHP 변수
$sql = "SELECT email FROM family WHERE family = '$family'";
$result = mysql_query($sqll)or die(mysql_error());
mysql 쿼리에 PHP 변수를 가져 오는 올바른 방법입니까?mysql에서 PHP 변수
그럴 수 있습니다. 그러나 SQL injection에 취약합니다.
이는 안전 :
$sql = sprintf("SELECT email FROM family WHERE family = '%s'",
mysql_real_escape_string($family));
$result = mysql_query($sql);
작은 따옴표가 필요 없습니다 : $ 제품군은 문자열
$sql = "SELECT email FROM family WHERE family = ".$family;
하지
경우
문자열 비교가있는 경우
,$sql = "SELECT email FROM family WHERE family = '".$family."'";
코드는 defined.it가 $result = mysql_query($sql)
을해야합니다
$sqll
이 아닌 형식 오류가 있습니다.
나는 이것이 당신이 ... 당신은 내가 것 PHP/MySQL을로 시작하는 경우
'$ family = "'OR (DROP DATABASE foo) OR" " ' – gahooa
http://stackoverflow.com/questions/60174/best-way-to-stop-stop-overview.asp를보고 난 후 투표/상태에 대한 제비 뽑기에 대해 생각했습니다. sql-injection-in-php도 앞 페이지에 있습니다. – atxdba