Je vais avoir un peu de chagrin avec cela et j'apprécierais de l'aide. Je l'ai essayé ce qui suit:
$result = mysql_query("SELECT this FROM that WHERE tFirstName = $_SESSION['FirstName'] And tLastName = $_SESSION['LastName']");
mais je reçois une erreur "T_ENCAPSED_AND_WHITESPACE inattendue, attendant T_STRING ou T_VARIABLE".
J'ai essayé un certain nombre de façons avec des guillemets simples et doubles autour des variables de session mais il semble toujours y avoir une erreur.
Finalement, je lui ai donné avec cela et les distribuèrent à la main fn $ et ln $ - alors utilisé que dans la requête:
$result = mysql_query("SELECT this FROM that WHERE tFirstName = '$fn' And tLastName = '$ln'");
Cela a bien fonctionné ... jusqu'à ce que je suis tombé sur un utilisateur avec le nom de famille O'Reilly et maintenant la citation unique dans leur nom le brise!
Aide! Une idée de comment je contourne ça?
Considérez AOP ou MySQLi. 'mysql_ *' va faire une très longue marche dans le futur, et ne reviendra pas à la maison. – Amelia
Aussi saint enfer lire sur l'injection SQL et ne touchez pas SQL jusqu'à ce que vous le faites. En outre, utilisez '{$ _braces []}' pour échapper dans une chaîne, mais vraiment, *** recherchez PHP Security ***. J'espère si mal que vous ne stockez pas les mots de passe, soit ... – Amelia
Merci pour tous vos commentaires les gars. La base du code a été faite dans Dreamweaver il y a plus d'un an. J'avais besoin de quelque chose pour une école et je n'avais aucune idée de MySQL/PHP. J'ai appris beaucoup plus que d'habitude, mais j'ai encore beaucoup de chemin à faire. Je vais bientôt changer pour MySQLi. J'ai aussi lu un peu sur l'injection et essayé de pirater le mien en utilisant ce que j'ai vu sur le web, mais je ne pouvais pas. Je l'ai mis à 2 choses: l'URL ne montre que la page 'container' et n'inclut pas? Id = etc et tous les login utilisateurs sont authentifiés avec Active Directory. J'aimerais quand même savoir comme il est facile de pirater Tho! – detjo