0
私は以下のコードをウェブサイト上に掲載しています。私はそれが(会社)で入力された情報を取っていることを理解し、エントリが空であればusers.phpページに移動します。それが空でないなら、それはエントリーを取り、テーブルでそれを調べます。PHP/SQLステートメント - 私はプロセスを理解しますが、個々のコード行は理解できません。
私が本当に理解していないビットは、他の人の後です。$セクション、特に%、私はあなたがコメントをしたときだと思ったのですか?
希望のお手伝いができますか?
感謝:)
if ($_POST["Company"] == "")
{
header("Location: companies.php?page=1");
$Orders = "<div id='ErrorMessage'>Please enter a company name or partial company name to search the Credit Report Shop.</div>\n";
}
else
{
$WhereSection="";
if ($_POST["Company"])
$WhereSection .= "WHERE UPPER(Company) LIKE '%".strtoupper($_POST["Company"])."%'";
$Statement = "SELECT * from jos_companies
$WhereSection
ORDER BY Company ASC, LastReport DESC";
db_connect();
$rid=mysql_query($Statement);
$rcount=0;
}
これはまさにSQLインジェクションとPDOライブラリのひどい悪用の例です。そして、ああ、はい、%はmysqlの単なるワイルドカード文字です –