各位先進大家好
使用php搭配mysql製作簡單的網頁查詢工具
(透過php連接資料庫後，echo select的內容)
發現資料內容包含<英文字>的部分會省略，無法顯示
猜測是被視為html的tag。(但<數字>的內容卻沒問題)
請問是否有讓其完整顯示的方法?還請給予指導，謝謝。
例如:
資料庫上某筆原始資料為:「檢出錯誤(端口<1>：部位<abcd>)」
在網頁上顯示的內容如下:「檢出錯誤(端口<1>：部位)」
(<英文字>的部分完全消失)
擷取部分原始碼如下:
==開始==
$sql = "SELECT * FROM ○○○ where
○○○ LIKE '%".$_POST[○○○]."%'
order by ○○○ desc
limit 10";
$result = mysqli_query($conn, $sql);
if (mysqli_num_rows($result) > 0) {
中間省略
echo
"<tr>".$rank_td.$row["○○○"].
"</td>".$td.$row["○○○"].
"</tr></td>"."<p></p>";
}
echo "</table>";
} else {
echo "no data";
}
mysqli_close($conn);
?>
==結束==

我只提點你一件事：你的東西很危險。

t大您好，請問能給多一些提示嗎? 這麼一句我不知該如何查起

正是因為不知從何查起，所以24hr後才會告訴你第二個提示不過你的code也挺正好的，正好讓我想想要怎麼寫4/1活動

關鍵字 sql injection

的sample code……正在想怎麼寫出以前那種早期的codecrossdunk…你太早破梗了，這樣人家很難思考啊。

還好吧，他可以去查那是什麼 我沒跟他說怎麼改善呀早期的程式碼去抄舊書就好啦 哈哈

那我也等24小時好了 以免破梗 :|

那我只好排48h之後了

htmlspecialchars 0.0

謝謝指點XD 當初有看到sql injection的相關介紹 但由於工具無法連上internet 使用者也沒有太多db知識 所以沒想那麼多

HTML 不要用echo 的 直接寫在頁面

HTML裡面不要寫php(以現在的做法來說)

經測試htmlspecialchars可以解決最初的問題 其他要再慢慢消化 先謝謝大家的回覆

直接學pdo吧...

當初看某網站介紹mysqli和pdo 擇一使用即可 後來發現pdo才是大宗...

mysqli也不是用這種土方法在用 還跟mysql*系列一樣完全失去物件包裝的意義

現在幫公司擦屁股一堆這種code，快氣死幫原po推回來 發洩完惹 抱歉XD (很想掐死前人

對不起我不是本科出來的XDD