我想使用以下语句向每个用户显示他们调用的位置:
$result = mysql_query("SELECT `CallerNumber`, `CalleeNumber`, `ServiceCost` FROM `calls` WHERE `Customer_ID` = $current_user['CustomerID']");
$current_user['CustomerID'] 部分导致错误。我试图用 / 转义将它放在单引号内,但它没有用。如何做到这一点?
【问题讨论】:
自从我做 PHP 以来已经有一段时间了,但我认为你需要的是这个:
$result = mysql_query("SELECT `CallerNumber`, `CalleeNumber`, `ServiceCost` FROM `calls` WHERE `Customer_ID` = '" . mysql_real_escape_string($current_user['CustomerID']) . "'");
(我刚刚查了mysql_real_escape_string,如果不是常用的,请见谅。)
另外,转义是使用反斜杠 (\) 而不是正斜杠 (/) 完成的
【讨论】:
你可以在下面试试这个。
$arg = $current_user['CustomerID'];
$result = mysql_query("SELECT `CallerNumber`, `CalleeNumber`, `ServiceCost` FROM `calls` WHERE `Customer_ID` = '$arg'");
【讨论】:
$arg 是字符串,则空格会破坏此代码。如果$current_user['customerID'] 可以被用户操纵,那么您就有了 SQL 注入。非常糟糕的代码。
唯一正确的答案是:
如果不是程序自己生成的,请先转义参数。
永远是个好主意!将要注入到查询中的转义变量。
使用 PDO 是一个更好的主意,但这是另一个主题。
$arg = mysql_real_escape_string($current_user['CustomerID']);
然后将注入的变量用单引号括起来否则转义将不起作用!
$query = "SELECT CallerNumber, CalleeNumber, ServiceCost
FROM calls WHERE Customer_ID = '$arg' ");
如果$var 包含空格或其他特殊变量,这也将防止您的 SQL 语句中出现语法错误。
不需要在列名周围使用反引号,除非您使用保留字作为列名, 或者您在列/表名中使用空格或其他奇怪字符
【讨论】:
escaping 但是当我回答转义部分时,你不想知道转义。无论如何,我的观点是,如果你不使用 PDO,你应该总是逃避,因为事情会发生变化,并且来自程序内部的数据现在可能会在明天看到数据来自用户的代码重构。此外,用户可以访问比许多程序员意识到的更多的数据。
对于双引号或 heredocs (EOT) 中的变量(包括数组甚至来自对象的属性调用),只需将它们括在大括号中即可。
$result = mysql_query("SELECT `CallerNumber`, `CalleeNumber`, `ServiceCost` FROM `calls` WHERE `Customer_ID` = {$current_user['CustomerID']}");
【讨论】:
{$current_user['CustomerID']} 是数字时才有效。如果你期望一个带或不带空格的字符串,这会给你一个错误。
您可以使用{$current_user['CustomerID']} 代替$current_user['CustomerID']
仅在$current_user['CustomerID'] 不是用户输入的情况下使用,否则应使用mysql_real_escape_string() 以避免SQL Injection
【讨论】:
mysql_real_escape_string() 您需要改用单引号。这会让你大开眼界。
$current_user['CustomerID'] 中有空格,这将如何失败。