这很奇怪,但当我添加mysql_real_sescape_string时,它不会加载页面,这是我像这样加载的代码:
$('.abandalink').click(function(){
var codigo_membro = $(this).attr('codigomembro');
$('#change').load('membrosbanda.php?codigo='+codigo_membro);
});
这是membrosbanda.php
$id=$_GET['codigo'];
$conexion=mysql_connect(HOSTNAME,USER,PW) or die("Problemas en la conexion");
mysql_select_db("bandasideral4",$conexion)
or die("Problemas en la selección de la base de datos");
$registros=mysql_query("SELECT * FROM abanda where codigo='$codigo'") or
die("Problemas en el select:".mysql_error());
如果我加上$id=$_GET['digo'];到$id=mysql_real_eescape_string($_GET['digo']);它停止工作
在mysql_real_escape_string
不可用之前,您需要先连接到数据库。
来自手册:
注:
使用MySQL_real_eescape_string()之前需要MySQL连接否则将生成E_WARNING级别的错误,而FALSE为返回。如果没有定义link_identifier,则最后一个MySQL连接使用。
如果您将codigo放入$id中,那么您的sql必须是SELECT*FROM abanda,其中codigo='$id'
更好的样式是:$id_s=mysql_real_eescape_string($_GET['digo']);
因此,所有的*_s变量都被sql内容转义,所有的普通变量都被污染数据。