SQL和PHP简要说明

时间:2015-07-17 00:35:15

标签: php sql 

$id=$_GET['previd'];
$SQL = "select * from pro where prId=".$id;

我是PHP的新手。谁能解释一下这里发生了什么?

1 个答案:

答案 0 :(得分:2)

  • 这是取GET(url)传递变量“previd”的值。 像http://example.com/page.php?previd=123这样的东西会设置 流行于123。
  • 接下来,它将变量$ id设置为123。
  • 下一个$ SQL设置为select * from pro where prId=123
  • 接下来,一个邪恶的人可以前往http://example.com/page.php?previd=;DROP TABLE pro,您的数据库现已被删除。

这就是人们使用消毒和准备陈述的原因。 

// PDO + MySQL
$pdo = new PDO('mysql:host=example.com;dbname=database', 'user', 'password');
$statement = $pdo->query("SELECT some_field FROM some_table");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['some_field']);

More Info

相关问题
最新问题