使用两个约束查询PHPMYADMIN_Php_Sql_Mysql

使用两个约束查询PHPMYADMIN

php sql mysql

使用两个约束查询PHPMYADMIN,php,sql,mysql,Php,Sql,Mysql,我试图创建一个登录脚本，通过验证用户名是否是组的一部分来获取信息。换句话说，我使用两个“AND”来验证信息。我这样做对吗 PHP: $check = mysql_query("SELECT username ,password FROM customers WHERE username = '".$_POST['user_name']."' and group_name='".$group_name."'")or die(mysql_error());

我试图创建一个登录脚本，通过验证用户名是否是组的一部分来获取信息。换句话说，我使用两个“AND”来验证信息。我这样做对吗

 PHP:

$check = mysql_query("SELECT username ,password FROM customers WHERE username =                     '".$_POST['user_name']."' and group_name='".$group_name."'")or die(mysql_error());

布兰登·霍斯利和马特·吉布森已经把它作为评论提到了——想想

SQL注入

。接下来，我强烈建议不要使用

die（mysql\u error（））

。否则，经验丰富的用户可能会从中“读出一些信息”。
最简单的方法是使用

mysql\u real\u escape\u string（）

(http://de.php.net/mysql_real_escape_string)-所以您可以像这样修改代码（我假设

$group\u name

也是一个可以由用户操纵的值）：

在使用之前，请确保使用mysql\u real\u escape\u字符串或类似内容。否则它看起来是正确的。您可能希望了解SQL注入攻击等内容。
<?php
// ...
$check = mysql_query("SELECT username, password FROM customers WHERE username = '". mysql_real_escape_string($_POST['user_name']) ."' and group_name = '". mysql_real_escape_string($group_name) ."'") or die('error);
// ...
?>