Как предотвратить SQL Injection при извлечении данных из базы данных при использовании параметров, полученных от пользовательского ввода:
if(isset($_GET['cityval']) && $_GET['cityval'] !=''){ $city = $this->request->query('cityval'); $searching .= " and college_city in ($city) "; } else { $searching .= ""; } if(isset($_GET['scholarship']) && $_GET['scholarship'] !=''){ $searching .= " and college_scholarship = '".$_GET['scholarship']."' "; } else { $searching .= ""; }
И мой основной запрос ниже
$search = $this->Search->query("select * from colleges where college_id!='' and status='active' $searching order by $order desc limit $start, 10 ");