在PHP中检查查询字符串值
这是mycharacters.php的全部代码在PHP中检查查询字符串值,php,mysql,query-string,Php,Mysql,Query String,这是mycharacters.php的全部代码 如果get变量名未包含在URL中,我想显示一个搜索表格,用于搜索表播放器。我该怎么做?您的意思是这样更改您的SQL字符串吗 http://localhost/?area=characters&name=Michal+Stroganof $result = mysql_query("SELECT * from players WHERE name = '$_GET[name]'"); while ($row = mysql_fetch
如果get变量名未包含在URL中,我想显示一个搜索表格,用于搜索表播放器。我该怎么做?您的意思是这样更改您的SQL字符串吗
http://localhost/?area=characters&name=Michal+Stroganof
$result = mysql_query("SELECT * from players WHERE name = '$_GET[name]'");
while ($row = mysql_fetch_assoc($result)) {
echo "Name: " .$row['name']. "<br>";
echo "Level: " .$row['level']. "<br>";
}
一定要清理你的SQL 您的意思是这样更改SQL字符串吗
http://localhost/?area=characters&name=Michal+Stroganof
$result = mysql_query("SELECT * from players WHERE name = '$_GET[name]'");
while ($row = mysql_fetch_assoc($result)) {
echo "Name: " .$row['name']. "<br>";
echo "Level: " .$row['level']. "<br>";
}
if (isset($_GET['name'])) {
// your above code
} else {
// display form
}
if (isset($_GET['name'])) {
// your above code
} else {
// display form
}
继续阅读关于SQL注入的内容:您的示例可能只是为了简单起见,但如果是实时代码,请研究SQL注入和准备好的语句。使用输入函数过滤输入,避免SQL注入类型问题,以及在输入被放入SQL时转义输入,如jheddings所述!永远不要信任用户数据。呃,正如jheddings在下面提到的,也就是说。请继续阅读SQL注入:您的示例可能只是为了简单起见,但如果是实时代码,请研究SQL注入和准备的语句。使用输入函数过滤输入,避免SQL注入类型的问题,正如jheddings在上面提到的,当输入被放入sql时,也会对其进行转义!永远不要信任用户数据。