mysqli_real_escape_string ne fonctionnera pas?

Question

J'ai obtenu ce simple code du moteur de recherche, mais voler ne peut l'empêcher de mes SQL Injections

$sql = mysqli_real_escape_string($searchengine,$sql); 

ne fonctionne pas ou je l'utilise mal ... ce que je fais mal?

<?php 
mysql_connect("localhost", "root", ""); 
mysql_select_db("searchengine"); 

$sql = mysql_query("SELECT * FROM searchengine WHERE pagecontent LIKE '%$_GET[term]%' LIMIT 0,$_GET[results]"); 

while($ser = mysql_fetch_array($sql)) { echo "<h2><a href='$ser[pageurl]'>$ser[pageurl]</a></h2>"; } 


?> 

Answer 1

Le mysqli_real_escape_string fait partie du module mysqli. Vous mélangez et n'utilisez pas la fonction correctement.

Voici comment vous le faites correctement:

mysql_connect("localhost", "root", ""); 
mysql_select_db("searchengine"); 

$sql = mysql_query(sprintf(
    "SELECT * FROM searchengine WHERE pagecontent LIKE '%s' LIMIT 0,%d", 
     '%'. mysql_real_escape_string($_GET['term']) .'%', 
     mysql_real_escape_string($_GET['results'])) 
); 

while($ser = mysql_fetch_array($sql)) { 
    echo "<h2><a href='$ser[pageurl]'>$ser[pageurl]</a></h2>"; 
} 

// don't forget to close connection 
mysql_close(); 

post-scriptum mysql_* est officiellement obsolète. S'il vous plaît regarder en utilisant PDO ou MySQLi bibliothèque.