我想在 WHERE 之后使用一个函数
这样就可以了
$sql = "SELECT * FROM Prodotti WHERE Id=10";
如果我希望 id 出现在 URL 链接中怎么办? 链接示例是这样的:https://www.try.org/product.php?signup=98 这样就不行了
$sql = "SELECT * FROM Prodotti WHERE strpos($fullUrl, signup=Id)";
【问题讨论】:
$_GET
strpos 不是 mysql 函数,所以这不起作用。
您可以通过使用$_GET 超全局获得id:
$id = (int) $_GET['signup']; // (int) makes sure it is an integer and no string
现在,为了使其在您的查询中起作用,您首先需要确保输入安全。
您可以使用mysqli_real_escape_string 使输入安全,但由于您需要一个整数而不是字符串,因此最好使用prepared statement。
在你的查询中你可以做的比做
$sql = "SELECT * FROM `Prodotti` WHERE `Id` = $id";
在表名和列名周围使用反引号,以防止 mysql 保留字错误。
准备好的语句示例:
$mysqli = new mysqli("localhost", "my_user", "my_password", "world");
$id = (int) $_GET['signup'];
if ($stmt = $mysqli->prepare("SELECT * FROM `Prodotti` WHERE `Id` = ?")) {
/* bind parameters for markers */
$stmt->bind_param("i", $id);// i for integer s for string
/* execute query */
$stmt->execute();
/* bind result variables */
$stmt->bind_result($district);
/* fetch value */
$stmt->fetch();
// Do something with the fetched data
/* close statement */
$stmt->close();
}
【讨论】:
mysqli_real_escape_**string**中。
您可以像这样从 url 获取注册参数:
$signup = $_GET['signup'];
然后在您的查询中使用它:
$sql = "SELECT * FROM Prodotti WHERE Id = '$signup'";
但这并不安全,我建议你也google一下“php mysqlprepared statements”
【讨论】: