Question

关于php的通过GET提交参数之后组成sql语句查询失败

include('sqlcon.php');#连接是没有问题的$username = $_GET['username'];$password = $_GET['password'];$query='SELECT * FROM level1_users WHERE username=\''.$username.'\' AND password=\''.$password.'\';';#$query = 'select * from level1_users where username=\''.$username.'\' and password=\'\' union select 1,2,3,4 from level1_users where \'1\'=\'1\'';#当我直接把语句写成查询语句的时候是正确的，可以执行的，但是通过GET提交获取参#数再组合起来，同样的语句，但是却执行失败echo $query."<br>";$result=mysqli_query($conn,$query);if(!$result || mysqli_num_rows($result) < 1){ die('Invalid password!');}echo "ok!!!!!!!";通过GET提交后组合的语句，却执行失败我直接复制这句语句到mysql控制台去执行，也是正确的我就是没想明白，为什么同样的语句，GET组合之后的语句会执行失败？





Answer 1

你拼接错误啊,不太懂的话你可以按这种方式运行:
$query="SELECT * FROM level1_users WHERE username='{$username}' AND password={$password}";

追问

我还是没明白哪里错了，能指出具体哪里出错了吗