如何将PHP变量放入SQL查询的输出中
$ query =“SELECT”“。 $ dir。 “'as myVariable,userName,userName其中userName = ...的用户密码。”
只需在查询字符串中使用它就像在任何其他字符串中一样。例如:
$sql = "UPDATE TABLE x SET dir=" . $dir . " WHERE id=" . $id;
但如果你这样做,你的变量使用用户的输入是非常重要的消毒它们免受SQL注入和这样。仅为这种情况提供了功能mysql_real_escape_string()。
$sql = "UPDATE TABLE x SET dir=" . mysql_real_escape_string($dir) . " WHERE id=" . mysql_real_escape_string($id);
SQL注入是最好的。 – 2010-11-07 07:53:25
这upvote向我们展示了通常SO参与者 – 2010-11-07 08:16:56
第一个答复缺少一些报价:
$ SQL = “更新表X设置DIR =”。 $ dir。 “WHERE id =”。 $ I
- >
$ SQL = “更新表X设置DIR ='”。 mysql_real_escape_string($ dir)。 “'WHERE id =”。 $ i
and
$ sql =“UPDATE TABLE x SET dir =”。 mysql_real_escape_string($ dir)。 “WHERE id =”。 mysql_real_escape_string($ ID);
- >
$ sql =“UPDATE TABLE x SET dir ='”。 mysql_real_escape_string($ dir)。 “'WHERE id =”。 mysql_real_escape_string($ ID);
报价仍然错过的智力水平。 – 2010-11-07 13:33:44
感觉像引用整数?我个人使用intval而不是引用/ mysql_real_escape_string,但每个人都使用它。 – anttir 2010-11-07 13:44:52
我不是心灵感应师。我不知道你的感受。我只是看你写了什么。缺少引号。 – 2010-11-07 14:16:12
你想要什么?这是什么“输出”?只是一个变量?你可以连接变量。 – 2010-11-07 07:54:23