我正在尝试执行以下操作,但是会出错,编写语句的正确方法是什么;
$sql="SELECT * FROM $tbl_name WHERE $db_usercol= '".$_POST['myusername']"' and $db_passcol= '"(md5($_POST['mypassword']))"'";
$result=mysql_query($sql);
答案 0 :(得分:4)
mysql_real_escape_string()是一种很好的做法。
$sql = "SELECT *
FROM $tbl_name
WHERE $db_usercol= '" . mysql_real_escape_string($_POST['myusername']) .
"' AND $db_passcol= '" . (md5($_POST['mypassword'])) . "'";
另外,您忘记了连接符号.。