$sql = "SELECT email FROM family WHERE family = '$family'";
$result = mysql_query($sqll)or die(mysql_error());
这是将php变量放入mysql查询的正确方法吗?
答案 0 :(得分:1)
这可行。但是,它容易受到SQL injection的攻击。</ p>
这更安全:
$sql = sprintf("SELECT email FROM family WHERE family = '%s'",
mysql_real_escape_string($family));
$result = mysql_query($sql);
答案 1 :(得分:1)
答案 2 :(得分:0)
代码有类型错误
$sqll未定义。必须为$result = mysql_query($sql)。
我相信这是你正在寻找的原因......(因为这个问题太模糊了,可能是因为你得到了一个你无法追踪的错误)
答案 3 :(得分:-1)
从我的知识最好的方式来使用这样:
如果$ family不是字符串
$sql = "SELECT email FROM family WHERE family = ".$family;
如果有字符串比较,那么
$sql = "SELECT email FROM family WHERE family = '".$family."'";
答案 4 :(得分:-2)
'$family'此处无需单引号