我正在尝试创建一个登录脚本,通过验证用户名是否为组的一部分来提取信息。换句话说,我正在使用两个" ands"验证信息。我这样做了吗?
PHP:
$check = mysql_query("SELECT username ,password FROM customers WHERE username = '".$_POST['user_name']."' and group_name='".$group_name."'")or die(mysql_error());
答案 0 :(得分:1)
Brandon Horsley 和 Matt Gibson 已经将其作为评论提及 - 考虑SQL injection。接下来我强烈不建议使用die(mysql_error())。否则,有经验的用户可能能够从中读出“东西”
最简单的方法是使用mysql_real_escape_string()(http://de.php.net/mysql_real_escape_string) - 所以你可以像这样调整你的代码(我假设$group_name也是一个可以的值由用户操纵):
<?php
// ...
$check = mysql_query("SELECT username, password FROM customers WHERE username = '". mysql_real_escape_string($_POST['user_name']) ."' and group_name = '". mysql_real_escape_string($group_name) ."'") or die('error);
// ...
?>