sql >> Database >  >> RDS >> Mysql

hoe gebruik je $_GET in mysqli_query?

U moet de string uitbreken om deze samen te voegen met de $_GET variabelen.

mysqli_query($db,"INSERT INTO jliu VALUES(null,".$_GET['title'].",".$_GET['fname'].",".$_GET['lname'].",".$_GET['description'].")");

Maar eigenlijk zou je moeten kijken naar voorbereide verklaringen om het gapende beveiligingslek met SQL-injectie hierboven te vermijden.

Met voorbereide verklaringen zou je de $_GET . binden variabelen toe aan de parameters in de query.

$stmt = mysqli_prepare($db,"INSERT INTO jliu VALUES(null, ?, ?, ?, ?");

mysqli_stmt_bind_param($stmt, "s", $_GET['title']); 
...
// and the same for the others

Er is wat meer detail in de gekoppelde man-pagina over hoe de voorbereide instructie moet worden uitgevoerd en het resultaat moet worden geretourneerd.



  1. Hoe stdout om te leiden van docker-container naar host

  2. Opnieuw geïntroduceerd Onbekende initiële karakterset indexfout?

  3. Kun je letterlijke tabellen in SQL definiëren?

  4. Hoe rijen naar kolommen te transponeren op basis van tijdsintervallen in MYSQL