Vérification des valeurs querystring en PHP

http://localhost/?area=characters&name=Michal+Stroganof 



$result = mysql_query("SELECT * from players WHERE name = '$_GET[name]'"); 

while ($row = mysql_fetch_assoc($result)) { 

    echo "Name: " .$row['name']. "<br>"; 
    echo "Level: " .$row['level']. "<br>"; 

}

C'est tout le code de mon characters.phpVérification des valeurs querystring en PHP

Si l'obtenir variable « nom » ne figure pas dans l'URL que je veux montrer un formulaire de recherche qui recherche les joueurs de la table. Comment ferais-je cela?

Source

2009-11-16 Michal Tjokov

+10

Lisez la suite sur les injections SQL: http://unixwiz.net/techtips/sql-injection.html – BalusC

Il est probablement le cas que votre exemple est juste pour la simplicité, mais si c'est du code en direct s'il vous plaît recherche SQL Injection et les déclarations préparées. –

utiliser une fonction d'entrée pour filtrer l'entrée et éviter les problèmes de type injection SQL, ainsi que d'échapper l'entrée quand il est placé dans le sql, comme mentionné ci-dessus! Ne faites jamais confiance aux données de l'utilisateur. – Kzqai

Voulez-vous dire juste pour changer votre chaîne SQL comme ça?

$sql = 'SELECT * from players'; 
if (isset($_GET['name'])) { 
    $safename = mysql_real_escape_string($_GET['name']); 
    $sql .= " WHERE name='$safename'"; 
} 
$result = mysql_query($sql);

Assurez-vous de désinfecter votre SQL!

Source

2009-11-16 22:56:53 jheddings

Utilisation isset():

if (isset($_GET['name'])) { 
    // your above code 
} else { 
    // display form   
}

Source

2009-11-16 22:56:57

Ah, bonne prise ... J'ai mal lu la question de l'OP. – jheddings

rapide et sale:

<?php 
if (!isset($_GET['name'])) 
{ 
    echo '<form action="'. $_SERVER['PHP_SELF'] .'" method="GET">' 
     .'<input type="text" name="name" />' 
     .'</form>'; 
} 
else 
{ 
    // your current code that queries your database here 
} 
?>

Source

2009-11-16 23:00:30

Vérification des valeurs querystring en PHP

Répondre

Questions connexes