MySQL查詢與2argument

以及我的功能是本MySQL查詢與2argument

function all_products($where, $condition, $where2, $condition2) { 
    $query = "SELECT * 
       FROM `product` 
       WHERE 
       ".mysql_real_escape_string($where)." = '".mysql_real_escape_string($condition)."' 
       and 
       ".mysql_real_escape_string($where)." = '".mysql_real_escape_string($condition)."' 
       "; 
    $query_run = mysql_query($query); 
    return $query_run; 
}

所以每當我試着去使用此功能來獲取數據從數據庫返回即使只有$地點和$條件爲真行$ where2和$ condition2是錯誤的。

來源

2014-01-23 Sachin

檢查你的第二個條件應該是：'「.mysql_real_escape_string（$ where2）。」 ='「.mysql_real_escape_string（$ condition2）。」'' - 你也容易受到SQL注入攻擊。請參閱：http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php –

瞭解它：D thanx – Sachin

您可以支持可變長度的條件。

function all_products(array $assoc) { 
    foreach ($assoc as $key => $value) { 
     $pairs[] = sprintf(
      "`%s` = '%s'", 
      addcslashes($key, '`'), 
      mysql_real_escape_string($value) 
     ); 
    } 
    $sql = empty($pairs) ? 
      'SELECT NULL LIMIT 0' : 
      'SELECT * FROM `product` WHERE ' . implode(' AND ', $pairs); 
    return mysql_query($sql); 
}

然而，所有mysql_*功能都已經棄用。我強烈建議您遷移到PDO或mysqli。

來源

2014-01-23 21:48:28 mpyw

回答

相關問題