Mysql
 sql >> Teknologi Basis Data >  >> RDS >> Mysql

bagaimana cara menggunakan $_GET di dalam mysqli_query?

Anda harus keluar dari string untuk menggabungkannya dengan $_GET variabel.

mysqli_query($db,"INSERT INTO jliu VALUES(null,".$_GET['title'].",".$_GET['fname'].",".$_GET['lname'].",".$_GET['description'].")");

Tapi sebenarnya Anda harus melihat ke pernyataan yang disiapkan untuk menghindari lubang keamanan injeksi SQL yang menganga di atas.

Dengan pernyataan yang disiapkan, Anda akan mengikat $_GET variabel ke parameter dalam kueri.

$stmt = mysqli_prepare($db,"INSERT INTO jliu VALUES(null, ?, ?, ?, ?");

mysqli_stmt_bind_param($stmt, "s", $_GET['title']); 
...
// and the same for the others

Ada beberapa detail lebih lanjut di halaman manual tertaut tentang cara menjalankan pernyataan yang disiapkan dan mengembalikan hasilnya.



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Apa solusi untuk menggunakan SQL dinamis dalam Prosedur tersimpan?

  2. MySQL:Kelompokkan menurut dua kolom dan jumlahkan

  3. PHP - mengambil stmt yang disiapkan ke dalam kelas:kelas Kesalahan Fatal tidak ditemukan

  4. Dapatkan hasil kueri SQL tanpa format tabel

  5. Menangani Tanggal Nol MySQL dengan EF Core