Php 定义要调用的SQL查询_Php_Sql_Forms

Php 定义要调用的SQL查询

php sql forms

Php 定义要调用的SQL查询,php,sql,forms,Php,Sql,Forms,假设我有以下php代码： $sql = "SELECT firstname FROM contact WHERE '{$_REQUEST['userid']}' = contactid"; $rs = $conn->Execute($sql); if (!$rs) { print $conn->ErrorMsg(); } else { while (!$rs->EOF) { print $rs->fields[0].'<br>'; $rs->MoveNe

假设我有以下php代码：

$sql = "SELECT firstname FROM contact WHERE '{$_REQUEST['userid']}' = contactid";
$rs = $conn->Execute($sql);
if (!$rs) {
print $conn->ErrorMsg();
}
else {
while (!$rs->EOF) {
print $rs->fields[0].'<br>';
$rs->MoveNext();  //  Moves to the next row
}}

$sql=“从联系人中选择firstname，其中“{$\u REQUEST['userid']}”=contactid”；
$rs=$conn->Execute（$sql）；
如果（！$rs）{
打印$conn->ErrorMsg（）；
}
否则{
而（！$rs->EOF）{
打印$rs->字段[0]。
；
$rs->MoveNext（）；//移动到下一行
}}

但是，我如何定义该纸条/代码，使其在我的表单中具有以下内容：

<p>First Name: <?php $whatever_it_can_be ?></p>

名字：

然后在页面中：

<p>First Name: <?php echo $firstname; ?></p>

名字：

将

{$\u REQUEST['userid']}

插入SQL语句是危险的，因为这将允许SQL注入。示例代码易受攻击，这是一个非常严重的问题。要修复此漏洞，请切换到准备好的语句。如果您的DB类不支持它们，请尝试。如果您需要PDO教程，请尝试。您保存的站点可能只是您自己的站点。

字段[1]

和

字段[2]

来自哪里？对不起，关于字段[1]和[2]，请忽略一个错误。感谢您提供的安全风险信息。不过，在表单中调用字段的好方法或更好方法是什么？当答案解决您的问题时，单击左上角计票下的复选标记，将其标记为已接受。

<p>First Name: <?php echo $firstname; ?></p>