我应该如何在mysql_查询函数中编写php$_post vars?

首先, watch out for SQL Injections !

现在,要回答您的问题,请尝试执行以下操作:

$query = mysql_query("SELECT `pass` FROM `database` WHERE `user` LIKE '" . mysql_escape_string($_POST['user']) . "';");

你做错了两件事:

• 使用 = 运算符而不是 LIKE 操作人员
• 不使用 '
• 不将用户索引封闭在 $_POST 数组与 ’

附:你应该用 mysql_real_escape_string() 而不是 mysql_escape_string() !

您只需在字符串中插入一个变量,所以您将它放入哪个命令并不重要。

有几个问题需要指出。

第一,您可能希望对数组变量使用格式。在此格式中,不在arrray密钥名周围使用引号。

$query = mysql_query("SELECT pass FROM database WHERE user='{$_POST[user]}'")

两个, 你永远不想做这样的查询 因为您可以使用SQL注入孔。考虑一下,如果$_post['user']是“cow”;drop table database;--”呢?

您必须在将后输入放入查询之前运行mysql_real_escape_字符串,或者使用 PHP PDO 带着准备好的陈述。

设置字符串格式的一种方法是使用sprintf,它提供了一点结构。

$query=mysql_query(sprintf("SELECT pass FROM database WHERE user='%s'",mysql_real_escape_string($_POST['user'])));

1. 使用 PDO -它提供了更好的API来与数据库通信。
2. 如果你在用 mysql_*() 函数总是记住 滤波器 ( mysql_real_escape_string() )来自不受信任源的任何数据(如用户)

3. 注意代码的外观。只需比较以下列表:

   $query = mysql_query("INSERT INTO database VALUES ('foo', 'bar', " . mysql_real_escape_string($_POST['user']) . ", " . mysql_real_escape_string($_POST['user']) . ", " . mysql_real_escape_string($_POST['user']) . ", " . mysql_real_escape_string($_POST['user']) . ")");
   
   $query = sprinf('INSERT INTO database VALUES ("foo", "bar", "%s", "%s", "%s")',
   mysql_real_escape(...), ...);
   

   我需要解释哪一个更适合阅读、修改或理解吗?

为什么不检查并查看mysql_error()对此有何评论?如果查询无效,mysql_error()将返回一个很好的文本块,告诉您到底出了什么问题。

至于MySQL不喜欢post var,如果您直接为某些运行而不是其他运行插入它,那么您应该确保为每个测试使用一致的数据和设置。如果使用get完成了一些测试,那么您的post vars将为空。如果您对每个测试使用不同的用户名,那么看看失败的用户名之间是否一致。

如前所述,阅读有关SQL注入的内容以及您的查询是如何被恶意用户破坏的。

尝试

$query = mysql_query("SELECT pass FROM database WHERE user=" . mysql_real_escape_string($_POST['user']));

和

$query = mysql_query("INSERT INTO database VALUES ('foo', 'bar', " . mysql_real_escape_string($_POST['user']) . ")");

清理通过$GET或$U POST收到的任何内容始终是个好主意。