2

我正在尝试执行以下操作,但给出了错误,编写该语句的正确方法是什么;

$sql="SELECT * FROM $tbl_name WHERE $db_usercol= '".$_POST['myusername']"' and $db_passcol= '"(md5($_POST['mypassword']))"'";
        $result=mysql_query($sql);
4

1 回答 1

4

mysql_real_escape_string()是一个很好的做法。

$sql = "SELECT * 
        FROM $tbl_name 
        WHERE $db_usercol= '" . mysql_real_escape_string($_POST['myusername']) . 
          "' AND $db_passcol= '" . (md5($_POST['mypassword'])) . "'";

另外,您忘记了连接符号..

于 2012-04-14T04:27:19.560 回答