美好的一天
我正在使用一个名为Site Lock的程序,来自Vibraloxig非常适合我需要的程序,但有一个问题,也许有人可以帮助我。
该站点允许我使用简单的PHP echo命令绘制用户的某些信息
<?php echo $slusername; ?>
将为我回复用户名,依此类推。我想要做的是使用它来过滤msql表中的查询这是我当前的代码
// Connect to server and select database.
mysql_connect("$host", "$username", "$password")or die("cannot connect");
mysql_select_db("$db_name")or die("cannot select DB");
$query = "SELECT * FROM members WHERE ussd_dealer = '<?php echo
$slcustom1; ?>' ";
$result = mysql_query($query);
echo " ".mysql_num_rows($result)." ";
?>
我的表有ussd_dealer和我正在调用的custom1在网站上工作,但在查询中无法为我过滤表格。不确定我是否需要使用&#34;&#34;而不是&#39;&#39;在WHERE ussd_dealer =之后。非常感谢协助。
答案 0 :(得分:0)
您不需要在字符串创建中echo:
$query = "SELECT * FROM members WHERE ussd_dealer = '$slcustom1' ";
当你想将它回显给HTML时,你使用echo函数,但当你只想使用变量中的值时 - 你是PHP代码结构,你可以简单地参考它原样。
请注意,这是非常不安全的。
你应该read this question/wiki关于SQL注入是什么,以及为什么做你要求的是打开一堆蠕虫来让你的网站被冲洗。
答案 1 :(得分:0)
您可以直接在查询中使用变量名称
$query = "SELECT * FROM members WHERE ussd_dealer = '{$slcustom1}' ";
SIDENOTE:使用mysqli而不是mysql