$sql = "SELECT email FROM family WHERE family = '$family'";
$result = mysql_query($sqll)or die(mysql_error());
これはMySQLのクエリにPHP変数を取得する正しい方法ですか?MySQLのPHP変数を取得する
$sql = "SELECT email FROM family WHERE family = '$family'";
$result = mysql_query($sqll)or die(mysql_error());
これはMySQLのクエリにPHP変数を取得する正しい方法ですか?MySQLのPHP変数を取得する
これはうまくいく可能性があります。しかし、それはSQL injectionに脆弱です。
これは、より安全ではありません:
$sql = sprintf("SELECT email FROM family WHERE family = '%s'",
mysql_real_escape_string($family));
$result = mysql_query($sql);
次のように使用するために私の知る最良の方法から、単一引用符の不要:$ファミリは、文字列
$sql = "SELECT email FROM family WHERE family = ".$family;
ない場合
文字列比較がある場合は、
$sql = "SELECT email FROM family WHERE family = '".$family."'";
コードは、型エラーを有する
$sqll
はdefined.itは$result = mysql_query($sql)
でなければなりません。
(質問はあなたがトラックをcouldntのエラーを得たので、おそらくしている、あまりにも曖昧であるため)あなたはPHP/MySQLので始まる場合は、私が
$ family = "'OR(DROP DATABASE foo)OR" "' – gahooa
私は投票/ステータスのためのトローリングについて考えましたhttp://stackoverflow.com/questions/60174/best-way-to-stop-stop-フロントページにもsql-injection-in-phpがあります。 – atxdba