在mysql查询中的post变量

Question

我想在我的sql查询中使用post变量值来按照用户选择的顺序对数据进行排序。该表可以正确显示相应的字段，但值不会排序。

我知道这是受sql注入，但是，我在我的本地服务器上进行培训的目的。

<?php 
$sort_in = $_POST['SortIn']; 

$sql = 'select * from db.Runner order by "'.$_POST['SortIn'].'"'; 
    $result = mysql_query($sql, $con); 

    if($result) 
    { 
     echo "<table border = '1'> 
     <tr> 
     <th>RunnerID</th> 
     <th>EventID</th> 
     </tr>"; 

     while($row = mysql_fetch_array($result)) 
     { 
      echo "<tr><td>"; 
      echo $row['RunnerID']; 
      echo "</td><td>"; 
      echo $row['EventID']; 
      echo "</td><td>"; 
      </tr>"; 
     } 
     echo "</table>"; 
?> 

Answer 1

您正在生产和运行像

select * from db.Runner order by "fieldname"; 

查询这当然应该是的

select * from db.Runner order by fieldname; 
select * from db.Runner order by `fieldname`; -- for MySql 
select * from db.Runner order by [fieldname]; -- for MSSQL 

（我建议一个的最后两个，根据您的数据库，例如，如果您的字段名称恰好是“订单”）。

卸下双引号

$sql = 'select * from db.Runner order by '.$_POST['SortIn']; 

以及可能通过适当的定界符，例如替换它们

$sql = 'select * from db.Runner order by `'. $_POST['SortIn'] . '`'; 

您已经提到的SQL注入和mysql_ VS mysqli_所以我会保持我的嘴今天关闭;）虽然我真的不明白了一个道理 - 即使是训练项目上localhost - 不这样做的权利， 老实说。

在发布这个答案后，一些有用的评论是由您的操作系统MarcB和其他回答zan。尽管这是训练，请注意他们，因为他们是很好的建议！

Answer 2

你竟然排序上的字符串，而不是一个字段，删除查询报价：

$sql = 'select * from db.Runner order by '.$_POST['SortIn']; 

附：我不会开始一个关于注射咆哮;）