У меня есть переменная, которая является фильтром для моего запроса:Variable заявление MySQL в PHP
$filterString.=" AND venue = ".$venue;
И я хочу эту переменную (при вызове), чтобы добавить и инструкцию фильтра на мой запрос.
Мой запроса выглядит следующим образом (с неудачной попыткой):
mysql_query("SELECT * FROM event
WHERE city = '$city' " . $filterString . "
ORDER BY date ASC");
Пожалуйста, не делайте этого (замену пользователем suplied данные непосредственно в запрос SQL). Вы разрешаете атаку SQL-инъекций. Вместо этого используйте «подготовленный оператор» (привязка данных заполнителей в запросе). –
Даже если я использую mysql_real_escape_string? –
@ David-SkyMesh ... Откуда вы знаете, что '$ city' и' $ venue' являются «пользовательскими данными» –