像这样试试
visible $sqlUpdate = "UPDATE user.user
SET level='1'
WHERE id='".mysql_real_escape_string($_GET['char'])."'
AND level >1
LIMIT 1";
参考这个链接,他们可以帮助你学习 http://sqlzoo.net/ ,http://beginner-sql-tutorial.com/sql.htm
visible $sqlUpdate = "UPDATE user.user SET level='1' WHERE id='".mysql_real_escape_string($_GET['char'])."' AND level >1 LIMIT 1";
您的代码容易受到 sql 注入的影响 您需要正确转义所有请求
您的代码容易受到sql 注入的影响,您需要全部转义get,更好的方法是使用Prepared 语句postrequest
好读
ext/mysqlPHP 扩展提供了所有以 mysql_ 为前缀的函数,从 PHP v5.5.0 开始正式弃用,并将在未来删除。所以使用PDO或者MySQLi 好读
$sqlCmd = "SELECT user.name,user.level FROM user.user WHERE user.id = '".$_GET['char']."' AND level>1 LIMIT 1";
if(mysql_num_rows($mysql_con)===1){
//run second query
}else{echo'error:'}
我认为这应该这样做......
$result = mysql_query($sqlCmd);
if($row = mysql_fetch_object($result)) {
if ($row->level > 1)
{
mysql_query($sqlUpdate);
//Might want to add a check here if it was successful...
echo "Done";
}
else
echo 'error!!!';
}
mysql_free_result($result);
尝试这个
$sqlCmd = "SELECT user.name,user.level
FROM user.user
WHERE user.id = '".$_GET['char']."'
LIMIT 1";
$resource = mysql_query($sqlCmd);
$temp_arr = mysql_fetch_assoc($resource);
$level = $temp_arr['level'];
if($level > 1)
{
$sqlUpdate = "UPDATE user.user
SET level='1'
WHERE id='".mysql_real_escape_string($_GET['char'])."'
LIMIT 1";
mysql_query($sqlUpdate);
}
mysql_query("UPDATE user.user SET level='1' WHERE id='".$_GET['char']."' and level>1 LIMIT 1");