在str_replace()之后添加mysql_real_escape_string()

时间:2013-12-22 15:17:03

标签: php mysql full-text-search str-replace mysql-real-escape-string

如何在mysql_real_escape_string()之后添加str_replace()

$s='+'.str_replace(' ',' +',rawurldecode($_GET['search']));

$sql = '
SELECT * from table 
where match 
(keywords) 
AGAINST 
('".mysql_real_escape_string($s)."' IN BOOLEAN MODE) 
order by date desc 
limit '.mysql_real_escape_string($_GET['number']).',10
';

这是在这样的mysql全文搜索中编写mysql_real_escape_string()的正确方法吗?感谢。

1 个答案:

答案 0 :(得分:-1)

是的,它几乎是正确的方式(你的报价单错误),但你正在使用的功能被删除。使用mysqli。 您应该使用intval(),因为用户可以输入文本值并生成错误。

$sql = '
SELECT * from table 
where match 
(keywords) 
AGAINST 
("'.mysql_real_escape_string($s).'" IN BOOLEAN MODE) 
order by date desc 
limit '.intval($_GET['number']).',10
';
相关问题
最新问题