[PHP][SQL]zapytanie sql ze zmienną $_get Opcje

[gumis7]

Witam,
przekazuję zmienną w adresie np www.nazwa.pl?i=0
w skrypcie tę zmienną odczytuje w ten sposób: $_GET['i']
a jak teraz tę zmienną przypisać do zapytania sql ?
$sql = "select * from `flogin` where login=$_GET['i']"
tez zapis z $ jest zły chyba brakuje jakiegoś apostrofu
można zrobić coś takiego, przypisać ją do zmiennej:
$d=$_GET['i'];
i wtedy
$sql = "select * from `flogin` where login='$d' ";
i już jest ok, ale po co przepisywać 2 x wkoło tę samą zmienną
może da się to stworzyć od razu takie zapytanie?

Pozdrawiam
Tomasz

[piotrooo89]

[PHP] pobierz, plaintext 
<?php
$sql = "select * from `flogin` where login='$_GET[i]'";
?>
[PHP] pobierz, plaintext 

Ten post edytował piotrooo89 3.11.2008, 08:31:52

[gumis7]

dzięki pomogło (IMG:http://forum.php.pl/style_emoticons/default/yahoo.gif)

[raptorx]

Wypadało by przefiltrować tego geta bo możliwe jest, że ktoś będzie chciała wprowadzić szkodliwy kod (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Pzodraiwiam

[servs]

nie wiem czy tylko mi tak się trafia czy to powsehne zjawisko ale mi nie zawse działa taki zapis... Zawsze pisze tak:

[PHP] pobierz, plaintext 
<?php
$sql = "select * from `flogin` where login=".$_GET[i];
?>
[PHP] pobierz, plaintext 

[bregovic]

Gdy wpisujesz zmienną w string zawarty w cudzysłowach, powinieneś go zawrzeć w {}. Ale lepiej, IMO, po prostu dodać zmienna do stringa za pomocą operatora kropki (.) - tak jak mówisz servs. Ale byłoby dobrze gdyby ten $_GET został przeczyszczony przez mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual, jak mówi raptorx.