sql >> データベース >  >> RDS >> Mysql

ユーザー入力に基づくMySQLクエリ

    実際には...

    // Read input from $_POST
    $uid = (isset($_POST['uid']) ? $_POST['uid'] : '');
    
    // Build query.  Properly escape input data.
    $query = 
      "SELECT name,age " .
      "FROM people " .
      "WHERE uid = '" . mysql_real_escape_string($uid) . "' " . 
      "LIMIT 0,1";
    

    セキュリティ上の理由から、変数内の文字をエスケープすることをお勧めします。いくつかの理由から、このドキュメントをご覧ください。

    http://en.wikipedia.org/wiki/SQL_injection



    1. php/mysqlで日付と時刻を比較する方法

    2. 理由/有用性は、OracleデータベースステートメントでENABLEキーワードを使用することです。

    3. DBに接続せずにmysql_real_escape_stringの代わりに

    4. CentOS用のMariaDBクラスターオフラインインストール