У меня есть ссылки на веб-странице, как это: http://test.com/index.php?function=news&id=88
Поэтому, когда я положил "после 88, я получаю следующее сообщение об ошибке: Предупреждение: mysql_fetch_row() ожидает параметр 1 чтобы быть ресурсом, логическим в строке ... 588
Итак, я прочитал о mysql_real_escape_string(), но я получаю идентификатор, но не знаю, как я должен предотвратить эту ошибку.
function news()
{
$query = mysql_query("SELECT * FROM news WHERE id=".$_GET['id']."");
while($news = mysql_fetch_row($query))
{
...
}
}
Это означает, что что-то в вашем коде принимает $ _GET ['id'] и использует его непосредственно в запросе. В лучшем случае это может остановить ваши запросы. В худшем случае это позволит кому-то запустить собственный код SQL на вашем сервере. – andrewsi
Используйте подготовленный оператор вместо попытки убежать. См. Http://stackoverflow.com/questions/60174/how-to-prevent-sql-injection-in-php – MrCode
[Великий эскапизм (или: что вам нужно знать для работы с текстом внутри текста)] (http: //kunststube.net/escapism/) – deceze