<body>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<form name="form" method="post" action="ss.php">
<span style="font-size:72pt;"><b><font face="標楷體"><font color="red"> 客戶資料「查詢」 <br>
<span style="font-size:28pt;"><b><font face="標楷體"><font color="green">
姓名:<input type="text" name="name" /> <br>
手機:<input type="text" name="phone" /> <br>
公司名稱:<input type="text" name="companyname" /> <br>
公司電話:<input type="text" name="companyphone" /> <br>
--------需求-----<br>
銑刀:<input type="text" name="X" /> <br>
牙攻:<input type="text" name="S" /> <br>
CBN:<input type="text" name="cbn" /> <br>
鑽尾:<input type="text" name="A" /> <br>
填寫人:<input type="text" name="user" /> <br>
<input type="submit" name="button" value="確定" /></font>
<input type="reset" name="button2" value="重設" /> </font>
</form>
</body>
----------------------------------------------------------
ss.php
<?php session_start(); ?>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<?php
include("mysql_connect.inc.php");
if(isset($_POST['phone']) && $_POST['phone'] !='' ){
$phone=$_POST['phone'];
$sql="SELECT * FROM `user` WHERE `phone` LIKE '%$phone%'";
$result=mysql_query($sql);
if(mysql_num_rows($result)>0) {
echo "<hr /> <table border='1'>
<tr> <td>姓名</td><td>電話</td><td>公司名</td><td>公司地址</td><td>公司電話</td><td>公司傳真</td><td>牙攻</td><td>CBN</td><td>鑽尾</td>
<td>備註</td><td>購買日期</td><td>購買金額</td><td>填寫人</td></tr>";
while ($row=mysql_fetch_array($result)){
echo "<tr><td>{$row['name']}</td>
<td>{$row['phone']}</td>
<td>{$row['companyname']}</td>
<td>{$row['companyadd']}</td>
<td>{$row['companyphone']}</td>
<td>{$row['companyfax']}</td>
<td>{$row['s']}</td>
<td>{$row['cbn']}</td>
<td>{$row['a']}</td>
<td>{$row['other']}</td>
<td>{$row['shopdate']}</td>
<td>{$row['shopmoney']}</td>
<td>{$row['user']}</td></tr>";
}echo '</table>';}}?>
</body>
我現在想要更改是,我不知道我到時候會輸入哪個text,我該怎改
更新1:
回 明 我想請問一下 "SQL injection" 的問題是指?