sql查询表达式写法

1 、$sql = "SELECT * FROM users WHERE user='" . $user . "' AND password='" . $pwd . "'";2 、$sql = "SELECT * FROM users WHERE user='$user' AND password='$pwd'";
这2个都正确?大家平时都用哪种写法?我是用第2种的

解决方案 »

  1.   

    都可以,但是建议
    $sql = "SELECT * FROM users WHERE user='" . addslashes($user) . "' AND password='" . addslashes($pwd) . "'";
      

  2.   


    php.ini 中默认magic_quotes_gpc=on,已经使用转义了,还需要用addslashes???最好有人详细讲下关于登陆时过滤问题~~~~~
      

  3.   

    严格的说,都不怎么好。我一般只select password from users where username=...然后再判断password和用户输入的是否相同。