查询和站点锁定

时间:2014-05-10 13:16:57

标签: php mysql

美好的一天

我正在使用一个名为Site Lock的程序,来自Vibraloxig非常适合我需要的程序,但有一个问题,也许有人可以帮助我。

该站点允许我使用简单的PHP echo命令绘制用户的某些信息

 <?php echo $slusername; ?>

将为我回复用户名,依此类推。我想要做的是使用它来过滤msql表中的查询这是我当前的代码

 // Connect to server and select database.
 mysql_connect("$host", "$username", "$password")or die("cannot connect"); 
 mysql_select_db("$db_name")or die("cannot select DB");
        $query = "SELECT * FROM members WHERE ussd_dealer = '<?php echo      
 $slcustom1; ?>' ";
 $result = mysql_query($query);
 echo " ".mysql_num_rows($result)." ";
 ?>

我的表有ussd_dealer和我正在调用的custom1在网站上工作,但在查询中无法为我过滤表格。不确定我是否需要使用&#34;&#34;而不是&#39;&#39;在WHERE ussd_dealer =之后。非常感谢协助。

2 个答案:

答案 0 :(得分:0)

您不需要在字符串创建中echo

$query = "SELECT * FROM members WHERE ussd_dealer = '$slcustom1' ";

当你想将它回显给HTML时,你使用echo函数,但当你只想使用变量中的值时 - 你是PHP代码结构,你可以简单地参考它原样。

请注意,这是非常不安全的。

你应该read this question/wiki关于SQL注入是什么,以及为什么做你要求的是打开一堆蠕虫来让你的网站被冲洗。

答案 1 :(得分:0)

您可以直接在查询中使用变量名称

$query = "SELECT * FROM members WHERE ussd_dealer = '{$slcustom1}' ";

SIDENOTE:使用mysqli而不是mysql