@BimkY
Умею делать поисковые запросы

Можно ли так сделать запрос?

"SELECT * FROM ".MySQL_TABLE_ACC." WHERE ".MySQL_ACC_LOGIN." = '$_POST[login]'"


использую дифайны. Если обычно пропускаю запрос. Все нормально а вот через дифайны. Ошибка. Пропускаю через Ajax запрос.
  • Вопрос задан
  • 241 просмотр
Пригласить эксперта
Ответы на вопрос 2
pxz
@pxz
✔ Совет: Вам помогли? Отметьте ответы решением.
Уважаемый, у Вас дырка в запросе для SQL-инъекции, которую может сделать даже неопытный школьник и Вы останетесь без данных.

Идите читать про экранирование символов, PDO и prepared statements.
Ответ написан
Комментировать
Ahen
@Ahen
Универсальный дилетант
"SELECT * FROM " . MySQL_TABLE_ACC . " WHERE " . MySQL_ACC_LOGIN . " = '" . $_POST[login] . "'"
не? Где в твоем примере конкатенация в конце строки?
Ну и да, пихать без обработки данные из пост запроса в мускуль запрос, это ход гения.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы