21-12-2009, 21:24
|
|
|
חבר מתאריך: 21.12.09
הודעות: 22
|
|
ציטוט:
במקור נכתב על ידי שימי
כי כשמתמשים בפורמט של מערך בתוך מחרוזת, יש לכלול אותו בתוך { }
שים לב, ונדמה לי שזו לא פעם ראשונה שלך, שאתה פותח פתח עצום ל SQL Injection. לפני שאתה עושה את השאילתא, תעביר את המשתנה הזה לתוך משתנה אחר תוך כדי הכנתו להכנסה לשאילתת SQL, וזאת באמצעות הפונקציה mysql_real_escape_string - אחרת יבוא המשתמש שימחק לך את כל תוכן הטבלה הזו (ואולי גם טבלאות אחרות אם אתה חוזר על הטעות הזאת במקומות נוספים...)
|
צודק אבל לא רק -
$_POST[user] ? לא מכיר . אולי התכוונת ל- $_POST['user'] ..
אקיצר :
קוד PHP:
mysql_query("DELETE FROM `conected` WHERE `name` = '{$_POST['user']}'",$link);
Have fun :]
|