http://localhost/?area=characters&name=Michal+Stroganof
$result = mysql_query("SELECT * from players WHERE name = '$_GET[name]'");
while ($row = mysql_fetch_assoc($result)) {
echo "Name: " .$row['name']. "<br>";
echo "Level: " .$row['level']. "<br>";
}
C'est tout le code de mon characters.phpVérification des valeurs querystring en PHP
Si l'obtenir variable « nom » ne figure pas dans l'URL que je veux montrer un formulaire de recherche qui recherche les joueurs de la table. Comment ferais-je cela?
Lisez la suite sur les injections SQL: http://unixwiz.net/techtips/sql-injection.html – BalusC
Il est probablement le cas que votre exemple est juste pour la simplicité, mais si c'est du code en direct s'il vous plaît recherche SQL Injection et les déclarations préparées. –
utiliser une fonction d'entrée pour filtrer l'entrée et éviter les problèmes de type injection SQL, ainsi que d'échapper l'entrée quand il est placé dans le sql, comme mentionné ci-dessus! Ne faites jamais confiance aux données de l'utilisateur. – Kzqai