给定以下查询(在代码中,不是存储过程);我如何向查询添加参数,而不是直接在查询中包含条件值?换句话说:我如何使这个数据库调用安全?将参数添加到PHP mssql查询
$dbhandle = mssql_connect($myServer, $myUser, $myPass);
$selected = mssql_select_db($myDB, $dbhandle);
$query = "SELECT lastname, firstname, address, phone, email ";
$query .= " FROM person";
$query .= " WHERE lastname LIKE '" . $lastName . "'";
$result = mssql_query($query);
while($row = mssql_fetch_array($result)) {
... etc.
为什么不用%LIKE就可以使用= –
@劳伦斯LIKE会做一个不区分大小写的匹配。 –