特殊文字でデータベースを検索

私は、私はデータベース

$query = mysql_real_escape_string($_GET['search']); 

SELECT * FROM table WHERE 1st_column LIKE '%{$query}%'

しかし、検索結果を検索するためにこれを使用ボタンその後

<a href="search.php?search=A & W Restaurants&submit=submit">A & W Restaurants</a>

ようにこのコードを使用し

は私が空であることを示しています。

私のデータベースクエリを停止するには "&"と思います。

これに関するご意見はありますか？

私はこのURLと思ういけない事前

2011-12-30 wyman

あなたのhrefでは '＆'を '&'に置き換えてください... – Rikesh

お願いします。 ***準備されたステートメントを使用してください。 http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php –

てくれてありがとう "？search.php検索= & Wのレストランでは、" vaild

であることをエンコードURLください - & Wレストラン

2011-12-30 06:07:51 user192344

-1

試してこの

SELECT * FROM table WHERE 1st_column='$query'

検索しても値を取得するcolume = 'to_value'は好きなようにうまくいけばいいですか？

2011-12-30 06:13:58 nate

インターネットに公開されているコードでこれを実際に試してはいけません。これは教科書のSQLインジェクションの脆弱性です。 –

答えて