我有一个HTML表单,我用它来提交一些SQL数据。我想将MYSQL函数LAST_INSERT_ID()作为值传递,但是当我这样做时,会有单个刻度标记在插入时添加该函数并且失败,就像这样' LAST_INSERT_ID()&# 39 ;.
我希望能够使用此功能,因此我可以调用该ID。
是否可以成功传递此功能?
答案 0 :(得分:0)
不,您无法传递SQL代码而不是值,并在服务器上自动执行。
(你能想象一下如果用得不好的人会怎么用......?)
你可以发送一个特殊的"魔法" value,服务器上的代码将识别的值,并将查询更改为使用last_insert_id()作为值。 (你可以使用函数名作为魔术值,但你应该使用不太明显的东西。)
要在类似的查询中插入代码,您需要动态创建SQL查询。当您动态创建查询时,请确保正确转义值,以便代码不会受到SQL注入攻击。