2

これは私がやろうとしている最後のことです。これを機能させることができたら、デザインを作成することができます。ご助力いただきありがとうございます。テキスト ボックスにクエリを入力して、php を使用して mysql からレコードを一覧表示したいと考えています。次に、プログラムは、住所など、その要素を持つすべてのレコードを一覧表示します。これが私のコードです:

      <?php
         $con = mysql_connect("localhost","root","");
         if (!$con)
         {
            die('Could not connect: ' . mysql_error());
         }

         mysql_select_db("koro", $con);

         \\what will I put in the WHERE ADDRESS="?
         $result = mysql_query("SELECT * FROM students WHERE ADDRESS=");

         echo "<table border='1'>
               <tr><th>Firstname</th>
               <th>Lastname</th></tr>";

         while($row = mysql_fetch_array($result))
         {
            echo "<tr>";
            echo "<td>" . $row['IDNUMBER'] . "</td>";
            echo "<td>" . $row['LNAME'] . "</td>";
            echo "<td>" . $row['FNAME'] . "</td>";
            echo "<td>" . $row['MNAME'] . "</td>";
            echo "<td>" . $row['GRADEYR'] . "</td>";
            echo "<td>" . $row['ADDRESS'] . "</td>";
            echo "</tr>";
         }
         echo "</table>";

         mysql_close($con);
      ?>

listform.html:

         <html>
         <head>
         <form action="list.php" method="post">
         address:<input type="text" name="grup" value="" /><br/>
         <input type="submit" name="List" value="" /><br/>
         </form>
         </head>
         </html>

\WHERE ADDRESS="? には何を入力しますか?ありがとう

4

2 に答える 2

3

$_POST[]配列に値が見つかります。

$result = mysql_query("SELECT * FROM students WHERE ADDRESS = '{$_POST["grup"]}'");

ただし、このアプローチは危険な場合があります。SQL インジェクション攻撃に対して $_POST[] データをサニタイズすることも必要になるでしょう。チュートリアルはたくさんあります。

于 2010-01-18T13:38:25.347 に答える
1

$_POST['grup'] には、投稿時にフィールドの値が含まれます。

次に、次のようにします。

$result = mysql_query(sprintf("SELECT * FROM students WHERE ADDRESS='%s'", mysql_real_escape_string($_POST['grup'], $con)));

sprintf と mysql_real_escape_string で POST 値をエスケープしないと、SQL インジェクション攻撃の標的になる可能性があります。

http://en.wikipedia.org/wiki/SQL_injection

于 2010-01-18T13:40:34.820 に答える