2011年5月3日 星期二

PHP簡單插入MYSQL資料

直接從外部輸入變數近來再程式中運算後再存入SQL資料表

例: 今輸入變數$a,$b,$c

存入MySQL 資料表TT
欄位名稱 A   存入變數$a
              BC 存入變數$b+$c
______________________________________

$sql ="INSERT INTO TT ( A,BC ) VALUES ( $_POST['a'] , '" . $_POST['b'] . $_POST['c'] . "' ) ";

mysql_query( $sql );

這樣就可以插入一筆資料了
 $_POST直接插入SQL句是大忌,你如果不想被人用SQL INJECTION取得權限等等的資料,最好是學學如何把$_POST或$_GET來的資料,重新正規化及去除跳脫碼(雙引單引號)
_______________________________________


排除跳脫字元比較簡單的方法.......
在php最開頭加

foreach( $_POST as $k => $v) $post[ $k ] = addslashes( $k ) ;
foreach( $_GET as $k => $v) $get[ $k ] = addslashes( $k ) ;

之後你的程式就直接用$get[FORM欄位名]及$post[FORM欄位名],不要用$_GET跟$_POST了

http://tw.knowledge.yahoo.com/question/question?qid=1011042403333#ooa_hash

沒有留言:

張貼留言