sql >> Databasteknik >  >> RDS >> Mysql

hur använder man $_GET inuti mysqli_query?

Du måste bryta ur strängen för att sammanfoga den med $_GET variabler.

mysqli_query($db,"INSERT INTO jliu VALUES(null,".$_GET['title'].",".$_GET['fname'].",".$_GET['lname'].",".$_GET['description'].")");

Men egentligen borde du titta på förberedda uttalanden för att undvika det gapande säkerhetshålet för SQL-injektion ovan.

Med förberedda uttalanden skulle du binda $_GET variabler till parametrarna i frågan.

$stmt = mysqli_prepare($db,"INSERT INTO jliu VALUES(null, ?, ?, ?, ?");

mysqli_stmt_bind_param($stmt, "s", $_GET['title']); 
...
// and the same for the others

Det finns lite mer detaljer på den länkade manualsidan om hur man utför det förberedda uttalandet och returnerar resultatet.



  1. Hämta senast infogade ID-formulär lagrad procedur i MySQL

  2. PHP/MySQLi:SET lc_time_names och DATE_FORMAT() i en mysqli-fråga?

  3. MySQL beräkna glidande medelvärde av N rader

  4. Kardinalitetsuppskattning för flera predikat