0

ユーザーが ID を入力し、データベースから名前を入力するフォームがありますか? 関連する部分と以下のSQLをコピーしたフォーム全体があります。

User ID: <input value="User ID" name="user_id">

$sql = "SELECT user_firstname, user_surname FROM users_tbl WHERE xxxx = users_tbl.user_id"
$result = pg_query($sql);

私はここまでやってきましたが、何をすべきかわかりません。

4

2 に答える 2

1

GET または POST フォーム変数をフィルタリングする必要があります。したがって、正しい方法は次のようになります。

$sql = "SELECT user_firstname, user_surname FROM users_tbl WHERE users_tbl.user_id= ".$_POST['user_id'];
$result = pg_query($sql);

また、SQL インジェクションから POST および GET 変数をフィルタリングすることを忘れないでください。

于 2013-07-05T13:11:13.417 に答える