如何解决通过PHP从SQL DB获取100个最新的DB条目
| 我是PHP / sql的新手(第一天),所以如果我以向后的方式进行操作,请原谅我。 下面的这个PHP旨在将100个最新条目返回到数据库中。我尝试通过选择要返回的100个条目并按创建该条目的日期(时间戳)进行排序。这会将最近的100个条目返回给数据库吗?还是我理解错了? $type = isset($_GET[\'type\']) ? $_GET[\'type\'] : \"global\";
$offset = isset($_GET[\'offset\']) ? $_GET[\'offset\'] : \"0\";
$count = isset($_GET[\'count\']) ? $_GET[\'count\'] : \"100\";
$sort = isset($_GET[\'sort\']) ? $_GET[\'sort\'] : \"date DESC\";
// Localize the GET variables
$udid = isset($_GET[\'udid\']) ? $_GET[\'udid\'] : \"\";
$name = isset($_GET[\'name\']) ? $_GET[\'name\'] : \"\";
// Protect against sql injections
$type = MysqL_real_escape_string($type);
$offset = MysqL_real_escape_string($offset);
$count = MysqL_real_escape_string($count);
$sort = MysqL_real_escape_string($sort);
$udid = MysqL_real_escape_string($udid);
$name = MysqL_real_escape_string($name);
// Build the sql query
$sql = \"SELECT * FROM $table WHERE \";
switch($type) {
case \"global\":
$sql .= \"1 \";
break;
case \"device\":
$sql .= \"udid = \'$udid\' \";
break;
case \"name\":
$sql .= \"name = \'$name\' \";
break;
}
$sql .= \"ORDER BY $sort \";
$sql .= \"LIMIT $offset,$count \";
$result = MysqL_query($sql,$conn);
if(!$result) {
die(\"Error retrieving scores \" . MysqL_error());
}
//echo $result;
$rows = array();
while($row = MysqL_fetch_assoc($result)) {
$rows[] = $row;
}
解决方法
尽管ѭ1是MySQL关键字,这应该可以工作,因此您需要将ѭ1括在反引号中或重命名该列。
另外,在建立查询之前,请务必确保已清除这些输入。在没有卫生的情况下,根据
$_GET
$_POST
WHERE
mysql_real_escape_string()
$valid_orderbys = array(\'`date` DESC\',\'`date` ASC\',\'`name` DESC\',\'`name` ASC\');
if (in_array($_GET[\'sort\'],$valid_orderbys))
{
// you\'re good,you can use this value
}
else
{
// unexpected value,either alert the user or
// use a default value you define
}
LIMIT
is_numeric()
$table
ORDER BY
LIMIT
SELECT * FROM ; DROP TABLE whatever; --WHERE ...
ORDER BY
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
