回答編集履歴

2

修正

2016/03/28 09:31

投稿

shi_ue
shi_ue

スコア4437

test CHANGED
@@ -4,7 +4,7 @@
4
4
 
5
5
  ↓↓↓
6
6
 
7
- $result = mysql_query("SELECT * FROM sp ORDER BY reg_date_sp DESC WHERE title LIKE '%$keyword%'", $con);
7
+ $result = mysql_query("SELECT * FROM sp WHERE title LIKE '%$keyword%' ORDER BY reg_date_sp DESC", $con);
8
8
 
9
9
  ```では?
10
10
 

1

修正

2016/03/28 09:31

投稿

shi_ue
shi_ue

スコア4437

test CHANGED
@@ -9,3 +9,11 @@
9
9
  ```では?
10
10
 
11
11
  あと、`mysql`系のAPIは非推奨です。`mysqli`か`PDO`を使いましょう。
12
+
13
+
14
+
15
+ また、入力された文字を直接SQLに入れてはいけません。SQLインジェクションされます。
16
+
17
+ プリペアドステートメントを使いましょう。
18
+
19
+ [http://php.net/manual/ja/pdo.prepared-statements.php](http://php.net/manual/ja/pdo.prepared-statements.php)