我正在尝试创建一个登录脚本,通过验证用户名是否属于某个组来提取信息。换句话说,我使用两个“与”来验证信息。我这样做正确吗?
PHP:
$check = mysql_query("SELECT username ,password FROM customers WHERE username = '".$_POST['user_name']."' and group_name='".$group_name."'")or die(mysql_error());
最佳答案
Brandon Horsley 和 Matt Gibson 已经在评论中提到过它 - 想想 SQL 注入(inject)
。接下来,我强烈不建议使用die(mysql_error())
。否则,有经验的用户可能能够从中“读到一些东西”。
最简单的方法是使用 mysql_real_escape_string()
(http://de.php.net/mysql_real_escape_string) - 这样你就可以像这样调整你的代码(我假设 $group_name
也是一个可以由用户操作的值):
<?php
// ...
$check = mysql_query("SELECT username, password FROM customers WHERE username = '". mysql_real_escape_string($_POST['user_name']) ."' and group_name = '". mysql_real_escape_string($group_name) ."'") or die('error);
// ...
?>
关于php - 使用两个约束查询 PHPMYADMIN,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4737198/