MySQL Abfrage basierend auf Benutzereingaben

Ich habe eine DB-Tabelle. Ich möchte eine text-Eingabe, wo der Benutzer eingeben können, die "uid" und die Abfrage der Zeile, die mit uid.

Also sagen wir mal ich habe so etwas wie dieses:

$query = "SELECT name,age FROM people WHERE uid = '2' LIMIT 0,1";
$result = mysql_query($query);
$res = mysql_fetch_assoc($result);

echo $res["age"];

wie würde ich es ändern, dass die Abfrage so etwas wie..

SELECT name, age 
  FROM people 
 WHERE uid = $_POST['blahblah'] LIMIT 0,1

Dank im Voraus für Eure Hilfe!

InformationsquelleAutor cream | 2012-07-30
  1. 3

    Speichern von SQL-injection-Angriff nutzen:

    $search_query = mysql_real_escape_string($_POST['blahblah']);

$query  = "SELECT name, age FROM people WHERE uid = '".$search_query."' LIMIT 0 , 1";
    InformationsquelleAutor vulcan raven
  2. 5

    In der Realität...

    //Read input from $_POST
$uid = (isset($_POST['uid']) ? $_POST['uid'] : '');

//Build query.  Properly escape input data.
$query = 
  "SELECT name,age " .
  "FROM people " .
  "WHERE uid = '" . mysql_real_escape_string($uid) . "' " . 
  "LIMIT 0,1";

    Seine ratsam, escape-Zeichen in die variable, die aus Gründen der Sicherheit. Werfen Sie einen Blick auf dieses Dokument, für die einige der Gründe:

    http://en.wikipedia.org/wiki/SQL_injection

    • danke, ich glaube wirklich nicht, es wäre einfach..
    • Oder warum nicht der Wechsel zu PDO + verwenden Sie vorbereitete Anweisungen, um es sicher vor SQL injection?
    InformationsquelleAutor Matt Lo
  3. 0

    Es gibt so viele Möglichkeiten, das gleiche zu tun
    Aber zuerst entkommen, und speichern es in eine variable zu

    $blahblah = mysql_real_escape_string($_POST['blahblah']);

    Und dann gibt Es

    Ersten:
    Wie @Mett Lo erwähnt:

    $query = "SELECT name,age FROM people WHERE uid = '" . $blahblah . "' LIMIT 0,1";

    Zweite:

    $query = "SELECT name,age FROM people WHERE uid = '{$blahblah}' LIMIT 0,1";

    Dritte: 

    $query = "SELECT name,age FROM people WHERE uid = '$blahblah' LIMIT 0,1";

    und wenn blahblah ist ein int-Wert in db-Tabelle, die dann Vierte:

    $query = "SELECT name,age FROM people WHERE uid = $blahblah LIMIT 0,1";
    • für meine eigene pädagogische Zwecke, weshalb wurde dieses -1ed? auch hatte ich den Eindruck, dass, wenn ein string in doppelten Anführungszeichen könnte man eine variable einfügen, ohne Anführungszeichen. ist das wahr, oder ist das nur für echos? ich Schätze Eure Vorschläge/Antworten.
    • wer hat -1, sollten Sie Kommentar hinzufügen. Wenn Sie schon etwas als int in der db-Tabelle, dann brauchst du nicht zu setzen Sie Anführungszeichen um die variable. Mehr über das hinzufügen von Anführungszeichen betrifft, um Daten einzufügen Geschwindigkeit. Aber wo db-Tabelle varchar-oder char-Spalten oder Datum oder eine andere als int, dann müssen Sie fügen Sie es mit ("") Anführungszeichen
    • Ich bin damit einverstanden, und ich danke Ihnen für die Klarstellung, dass.
    InformationsquelleAutor Rajan Rawal
  4. 0

    Können Sie die sprintf-Funktion, um die Abfrage zu erstellen.

    $query = sprintf("SELECT name,age FROM people WHERE uid = '%s' LIMIT 0,1",
         $_POST['blahblah'] );

    Den rest wird die gleiche sein. Es wird dringend empfohlen, dass Sie die Flucht der $_POST-Daten vor dem ausführen der Abfrage, um zu verhindern, dass SQL-Attacken. Können Sie re Satz die Abfrage wie folgt.

    $query = sprintf("SELECT name,age FROM people WHERE uid = '%s' LIMIT 0,1",
         mysql_escape_string($_POST['blahblah']) );
    InformationsquelleAutor Vivek
Schreibe einen Kommentar