根据用户输入SQL填充数据库中的字段

时间:2013-07-05 13:08:42

标签: php sql forms populate auto-populate

我有一个表单,用户输入他们的ID,然后从数据库中填充他们的名字?我只是复制了相关部分和下面的SQL。

User ID: <input value="User ID" name="user_id">

$sql = "SELECT user_firstname, user_surname FROM users_tbl WHERE xxxx = users_tbl.user_id"
$result = pg_query($sql);

我已经做到了这一点,但我不知道该怎么做。

2 个答案:

答案 0 :(得分:1)

您应该过滤GET或POST表单变量。所以正确的方法是:

$sql = "SELECT user_firstname, user_surname FROM users_tbl WHERE users_tbl.user_id= ".$_POST['user_id'];
$result = pg_query($sql);

另外,不要忘记从sql注入过滤POST和GET变量

答案 1 :(得分:0)

你可能想要像...这样的东西。

page1.php中

<form method="POST" action="page2.php">
User ID: <input name="user_id" value="User ID">
<input type="submit" value="go">
</form>

使page2.php 

$id = mysql_escape_string( $_POST['user_id'] );
$sql = "SELECT `user_firstname`, `user_surname` FROM `users_tbl `WHERE `id` = '$id' LIMIT 1";
...
相关问题
最新问题