【发布时间】:2013-07-22 12:33:49
【问题描述】:
所以现在当我从 DB 获得积分时,我想将 5 个积分添加到 [points] 并保存到 DB:
function addPoints($email)
{
$con = mysql_connect("example", "example", "example") ;
if (!$con)
{
die("Can not connected: " . mysql_error());
}
mysql_select_db("example",$con);
$sql = "SELECT points FROM tablename WHERE email = '$email'";
$myData = mysql_query($sql,$con);
while($record = mysql_fetch_array($myData))
{
$record['points'];
}
mysql_close($con);
}
【问题讨论】:
-
警告您的代码可能容易受到 sql 注入攻击!
-
不要使用mysql扩展,使用PDO或者mysqli。并使用准备好的语句。
-
如果 email 的值是用户输入,那么它是易受 SQLi 攻击的。
-
使用 PDO 或 MySQLi。
-
您可以尝试编写此更新查询而不是您的 sql 查询:“UPDATE tablename SET points =”。 $你的积分 + 5 。 " WHERE email = '$email'