私はそれに慣れていないので、PHP の if ステートメントについて少し助けが必要です。
まず、次のクエリがあります。
$sqlCmd = "SELECT user.name,user.level
FROM user.user
WHERE user.id = '".$_GET['char']."'
LIMIT 1";
そして今、私はこの2番目のクエリを持っています
visible $sqlUpdate = "UPDATE user.user
SET level='1'
WHERE id='".$_GET['char']."'
LIMIT 1";
私がやりたいことは次のようなものです:if level>1を実行し$sqlUpdate、そうでなければエラーを出力します。
このようにしてみてください
visible $sqlUpdate = "UPDATE user.user
SET level='1'
WHERE id='".mysql_real_escape_string($_GET['char'])."'
AND level >1
LIMIT 1";
http://sqlzoo.net/ 、http://beginner-sql-tutorial.com/sql.htmの学習に役立つこのリンクを参照して ください
visible $sqlUpdate = "UPDATE user.user SET level='1' WHERE id='".mysql_real_escape_string($_GET['char'])."' AND level >1 LIMIT 1";
あなたのコードはSQLインジェクションに対して脆弱です。すべてのリクエストを適切にエスケープする必要があります
あなたのコードはSQLインジェクションgetに対して脆弱です。すべてをエスケープする必要がありますpost。requestより良いアプローチはPreparedステートメントを使用することです
よく読んだ
ext/mysqlプレフィックス mysql_ で名前が付けられたすべての関数を提供する PHP 拡張機能全体は、PHP v5.5.0 で正式に非推奨となり、将来的に削除される予定です。したがって、またはのいずれPDOかを使用しますMySQLi よく読んだ
$sqlCmd = "SELECT user.name,user.level FROM user.user WHERE user.id = '".$_GET['char']."' AND level>1 LIMIT 1";
if(mysql_num_rows($mysql_con)===1){
//run second query
}else{echo'error:'}
これでいいと思いますが…
$result = mysql_query($sqlCmd);
if($row = mysql_fetch_object($result)) {
if ($row->level > 1)
{
mysql_query($sqlUpdate);
//Might want to add a check here if it was successful...
echo "Done";
}
else
echo 'error!!!';
}
mysql_free_result($result);
これを試して
$sqlCmd = "SELECT user.name,user.level
FROM user.user
WHERE user.id = '".$_GET['char']."'
LIMIT 1";
$resource = mysql_query($sqlCmd);
$temp_arr = mysql_fetch_assoc($resource);
$level = $temp_arr['level'];
if($level > 1)
{
$sqlUpdate = "UPDATE user.user
SET level='1'
WHERE id='".mysql_real_escape_string($_GET['char'])."'
LIMIT 1";
mysql_query($sqlUpdate);
}
mysql_query("UPDATE user.user SET level='1' WHERE id='".$_GET['char']."' and level>1 LIMIT 1");