sql >> Databasteknik >  >> RDS >> Mysql

MySQL-fråga baserad på användarinmatning

I verkligheten...

// Read input from $_POST
$uid = (isset($_POST['uid']) ? $_POST['uid'] : '');

// Build query.  Properly escape input data.
$query = 
  "SELECT name,age " .
  "FROM people " .
  "WHERE uid = '" . mysql_real_escape_string($uid) . "' " . 
  "LIMIT 0,1";

Det är tillrådligt att escape tecken i variabeln av säkerhetsskäl. Ta en titt på det här dokumentet av några av anledningarna:

http://en.wikipedia.org/wiki/SQL_injection



  1. Installera Oracle Warehouse Builder 11g R2 Client

  2. Lagrar datetime som UTC i PHP/MySQL

  3. Vilket är bättre, implicit eller explicit gå med?

  4. Oracle Database Security:Databasrevision