我想表現每個用戶,他們被稱爲使用此語句:PHP SQL語句轉義
$result = mysql_query("SELECT `CallerNumber`, `CalleeNumber`, `ServiceCost` FROM `calls` WHERE `Customer_ID` = $current_user['CustomerID']");
的$current_user['CustomerID']部分導致錯誤。我試圖把它放在帶有/ escapes的單引號中,但它不起作用。如何才能做到這一點?
你可以在下面試試。
$arg = $current_user['CustomerID'];
$result = mysql_query("SELECT `CallerNumber`, `CalleeNumber`, `ServiceCost` FROM `calls` WHERE `Customer_ID` = '$arg'");
你可以使用{$current_user['CustomerID']}代替$current_user['CustomerID']
只有在情況下$current_user['CustomerID']使用,這不是用戶輸入,否則你應該使用mysql_real_escape_string()避免SQL Injection
這已經有一段時間,因爲我做了PHP ,但我認爲你需要的是這樣的:
$result = mysql_query("SELECT `CallerNumber`, `CalleeNumber`, `ServiceCost` FROM `calls` WHERE `Customer_ID` = '" . mysql_real_escape_string($current_user['CustomerID']) . "'");
(我剛看了一下從對象,道歉,如果這不是常用的一個。)
另外,轉義一個反斜槓完成(\),而不是一個正斜槓(/)
對於變量(包括數組甚至屬性電話)用雙引號或heredocs(EOT),只需將它們裝入大括號中即可。
$result = mysql_query("SELECT `CallerNumber`, `CalleeNumber`, `ServiceCost` FROM `calls` WHERE `Customer_ID` = {$current_user['CustomerID']}");
唯一正確的答案是:
首先逃脫參數,如果它不是由程序本身產生的。
永遠是個好主意!你要注入的查詢中有越獄變數。
這是一個更好的主意,使用PDO,但另一個主題。
$arg = mysql_real_escape_string($current_user['CustomerID']);
然後圍繞注入VAR單引號或轉義都不行!
$query = "SELECT CallerNumber, CalleeNumber, ServiceCost
FROM calls WHERE Customer_ID = '$arg' ");
這也將避免語法錯誤在SQL語句中,如果$var包含空格或其他特殊瓦爾。不需要周圍COLUMNNAMES
反引號,除非您使用保留字作爲列名,或者你正在使用你的列/表名
沒有工作空格或其他奇怪的字符! ;)謝謝 – Cimbom
-1,失敗。如果'$ arg'是一個字符串,空格將會破壞這段代碼。如果'$ current_user ['customerID']'可以由用戶操縱,那麼你有一個SQL注入。非常差的代碼。 – Johan
@Johan ..你是對的,但我的目標是解決錯誤並讓代碼首先工作。我不想開始傳播安全和最佳實踐。 :) – scartag