我試圖做一個登錄頁面在PHP中,我試圖構建這裏查詢:廣東話字符串插入MySQL查詢
$q = 'SELECT * FROM users WHERE userid="'+$username+'"';
當我贊同它與
echo $q
我得到0。當我做
$q = 'SELECT * FROM users WHERE userid="'+"test"+'"';
我得到0。當我做
$q = 'SELECT * FROM users WHERE userid="michael"';
我得到被打印出來
去像''花語法我句子和{$ keywords}'' – aldrin27
'+'是用於PHP的數學。使用'.'您也可以使用此代碼開放SQL注入,以最好地參數化您的查詢。另外'userid'可能永遠不會等於'$ username'。 – chris85
SQL注入,小心,userid的數據類型是什麼?它不是javascript –