帶特殊字符的搜索數據庫

我使用此代碼作爲一個按鈕

<a href="search.php?search=A & W Restaurants&submit=submit">A & W Restaurants</a>

在那之後，我用它來搜索數據庫

$query = mysql_real_escape_string($_GET['search']); 

SELECT * FROM table WHERE 1st_column LIKE '%{$query}%'

但搜索結果告訴我是空的。

我認爲是「&」來停止我的數據庫查詢。

對此有何看法？

感謝提前

2011-12-30 wyman

TRy用'&'在你的href中替換'＆'... – Rikesh 2011-12-30 06:05:35

請哦，請***使用準備好的聲明。 http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php – 2011-12-30 06:07:37

我不認爲這個URL vaild

請URL編碼爲「search.php中搜索= A &W¯¯餐館？」 - 一個&W¯¯餐廳

2011-12-30 06:07:51 user192344

-1

試這

SELECT * FROM table WHERE 1st_column='$query'

我不知道你如何設置搜索但得到一個值colume ='to_value'sould會更好的工作，然後就像如果喜歡，即使是一個選擇comanned

2011-12-30 06:13:58 nate

請不要在暴露於互聯網的代碼中實際嘗試這種方式。這是一本教科書SQL注入漏洞。 – 2011-12-30 06:56:18

回答