我想根据URL字符串选择一些ID,但对于我的代码,它仅显示第一个。如果我写手册的ID是伟大的。
我有这样的网址http://www.mydomain.com/myfile.php?theurl=1,2,3,4,5(ids)
现在在myfile.php中,我有sql连接,并且:
$ids = $_GET['theurl']; (and i am getting 1,2,3,4,5)
如果我使用这个:
$sql = "select * from info WHERE `id` IN (1,2,3,4,5)"; $slqtwo = mysql_query($sql); while ($tc = mysql_fetch_assoc($slqtwo)) { echo $tc['a_name']; echo " - "; }
我得到正确的结果。现在,如果我使用下面的代码,它将无法正常工作:
$sql = "select * from info WHERE `id` IN ('$ids')"; $slqtwo = mysql_query($sql); while ($tc = mysql_fetch_assoc($slqtwo)) { echo $tc['a_name']; echo " - "; }
有什么建议?
插值时
"select * from info WHERE `id` IN ('$ids')"
使用您的ID,您将获得:
"select * from info WHERE `id` IN ('1,2,3,4,5')"
…将您的ID集视为单个字符串,而不是整数集。
摆脱IN子句中的单引号,像这样:
IN
"select * from info WHERE `id` IN ($ids)"
另外,不要忘记您需要检查 SQL Injection攻击 。您的代码当前非常危险,并且有严重的数据丢失或访问风险。考虑如果有人使用以下URL调用您的网页,并且您的代码允许他们在单个查询中执行多个语句,会发生什么情况:
http://www.example.com/myfile.php?theurl=1);delete from info;--
