Как использовать CONCAT в запросе обновления

Question

Привет У меня есть следующий запрос:

$sql = "update zzz_users set password = "'".$encrypted."' where username = '".$email."'"; 
CustomQuery($sql); 

И я просто не могу получить право Concat, может кто-то пожалуйста, покажите мне, как это сделать

Answer 1

Правильный запрос является:

$sql = "update zzz_users set password = '" . $encrypted . "' where username = '" . $email . "'"; 

Answer 2

Существует " слишком много после password =. Вам следует избегать строк, прежде чем записывать их в базу данных, иначе вы можете получить возможность SQL-инъекции.

$sql = "update zzz_users set password = '" .mysql_real_escape_string($encrypted). "' where username = '" .mysql_real_escape_string($email). "'"; 
CustomQuery($sql); 

Answer 3

Здесь намного больше ошибок, чем не получить правильное сцепление.

Прежде всего, если вы просто пытаетесь поместить переменные в строку в PHP, рассмотреть вопрос об использовании двойных кавычек и ввод переменных непосредственно в строку:

$sql = "UPDATE `zzz_users` SET `password` = $encrypted WHERE `username` = $email"; 

Там нет необходимости для всех запуска и остановка строк в этом случае.

Однако, что вы здесь делаете, чрезвычайно опасно из-за SQL Injection attacks. Вы должны ОПРЕДЕЛЕННО НЕ ставить переменные непосредственно в ваши команды SQL.

Лучший способ сделать это - использовать библиотеку, которая знает, как принимать строки форматирования и создавать безопасные SQL для вас. Например, что-то вроде MeerkoDB позволит вам написать это SQL заявление так:

DB::query("UPDATE `zzz_users` SET `password`=%s WHERE `username`=%s", $encrypted, $email); 

Это действительно безопасен, так как это гарантирует, что SQL правильно спасся, предотвращения атак SQL инъекций. Конечно, вы можете свернуть свое собственное побег, но почти всегда лучше использовать хорошо зарекомендовавшуюся библиотеку (есть много бесплатных/открытых исходных и коммерческих/проприетарных предложений).