我有一个表单,客户端在表单中输入变量“PRICE”的值,例如10
我想在我的.php文件中执行一个执行此操作的函数
SELECT * FROM $table WHERE price = "the value put in from the client" (10 in this case)
我该怎么做?
答案 0 :(得分:0)
使用用户提交的数据和准备好的声明进行清理,以避免严重的黑客攻击。
$price=filter_var($_POST['price'], FILTER_SANITIZE_STRING); //USER SUBMITTED sanitization stage 1.
$query=$dbh->prepare("SELECT * FROM $table WHERE price=?;");
$query->execute(array($price));