Mysql
 sql >> Baza danych >  >> RDS >> Mysql

Zapytanie MySQL oparte na danych wprowadzonych przez użytkownika

W rzeczywistości...

// Read input from $_POST
$uid = (isset($_POST['uid']) ? $_POST['uid'] : '');

// Build query.  Properly escape input data.
$query = 
  "SELECT name,age " .
  "FROM people " .
  "WHERE uid = '" . mysql_real_escape_string($uid) . "' " . 
  "LIMIT 0,1";

Ze względów bezpieczeństwa wskazane jest unikanie znaków w zmiennej. Spójrz na ten dokument z kilku powodów:

http://en.wikipedia.org/wiki/SQL_injection



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. MySQL Nieprawidłowy ciąg znaków UTF8 podczas importowania tabeli csv

  2. Tylko zmienne mogą być przekazywane przez referencję - php

  3. Jak korzystać z wielu baz danych dla jednej aplikacji rails 3.1 w Heroku?

  4. Który model hierarchiczny powinienem użyć? Sąsiedztwo, zagnieżdżone czy wyliczone?

  5. Czy widok MySQL zawsze wykonuje pełne skanowanie tabeli?