次のコードを書いて、mysql テーブルからデータをフェッチしました。
$clg=$row['text'];
$query1 = "SELECT * FROM user WHERE text='$clg'";
$result1 = mysql_query($query1,$con) or die(mysql_error());
$count=mysql_num_rows($result1);
echo $count;
しかし、テキスト フィールドには $query1 の単一引用符を閉じる単一引用符 (') があるため、mysql 構文エラーが発生します。どうすればこれを修正できますか?
$clg=$row['text'];
$query1 = "SELECT * FROM user WHERE text='" . mysql_real_escape_string($clg) . "'";
$result1 = mysql_query($query1,$con) or die(mysql_error());
$count=mysql_num_rows($result1);
echo $count;
ただし、mysql_*関数ファミリはまもなく非推奨になることを知っておく必要があります。php.netのWebサイトにある赤いボックスをお読みください。
<?php
function escape($string) {
if(get_magic_quotes_gpc()) $string = stripslashes($string);
return mysql_real_escape_string($string);
}
この関数を書いて呼び出す
escape($clg);
すべての mysql 構文エラーと sql インジェクションを防ぐために。