我有這樣的代碼來加載對應的ID號的生日月份,當更新MySQL數據:如何使用爆炸
<?php
$query = "SELECT DISTINCT BIRTHDAY FROM student WHERE IDNO='".$_GET['id']."'";
if($result = mysql_query($query))
{
if($success = mysql_num_rows($result) > 0)
{
?>
<select title="- Select Month -" name="mm" id="mm" class="" >
<?php
while ($row = mysql_fetch_array($result))
list($year,$month,$day)=explode("-", $row['BIRTHDAY']);
?>
<option value="<?php echo $month;?>"><?php echo $month; ?></option>\n";
這是表單的動作:
$birthday = mysql_real_escape_string($_POST['mm']);
mysql_query("UPDATE student SET YEAR = FIRSTNAME='$fname', BIRTHDAY='$birthday'
WHERE IDNO ='$idnum'");
我該怎麼做,當我點擊更新按鈕時,它會執行,但我看到未定義的偏移量錯誤存儲在MySQL數據庫中,而不是月份。 我只是一個初學者,你可以給我一些提示,我怎樣才能實現更新數據
數據庫中BIRTHDAY的數據類型是什麼,如果它是日期類型,那麼值無法插入 – nik 2010-05-05 14:55:32
AAAHHHH SQL注入AUGHHHHHHH – mattbasta 2010-05-05 15:24:02
您使用$ _GET的查詢不安全。有人可以輸入mypage.php?idno ='OR 1 = 1;更新學生SET firstname ='Trolololo'; - – 2010-05-05 18:28:51