sql >> Database >  >> RDS >> Mysql

MySQL-query op basis van gebruikersinvoer

In werkelijkheid...

// Read input from $_POST
$uid = (isset($_POST['uid']) ? $_POST['uid'] : '');

// Build query.  Properly escape input data.
$query = 
  "SELECT name,age " .
  "FROM people " .
  "WHERE uid = '" . mysql_real_escape_string($uid) . "' " . 
  "LIMIT 0,1";

Om veiligheidsredenen is het raadzaam om tekens in de variabele te escapen. Bekijk dit document om een ​​aantal redenen:

http://en.wikipedia.org/wiki/SQL_injection



  1. Ondersteunt Python door MySQL voorbereide instructies?

  2. ORA-01017 Ongeldige gebruikersnaam/wachtwoord bij verbinding met 11g-database vanaf 9i-client

  3. Kan geen Chinees karakter invoegen in MySQL

  4. CONCAT meerdere velden naar een enkel veld, enkele spatie