php - 公共(public)用户个人资料页面

Question

我正在尝试为我的网站合并一个公共(public)资料页面。基本上我有数据库的所有设置和编辑配置文件和东西。它全部 100% 正常工作，包括更改您的图片。

我想做的是制作这个文件“profile.php”，这样如果你转到一个像这样的链接。

http://local.com/profile.php?id=8

它将把你带到用户id为8的用户并显示信息。

我在想我可以让它成为 SELECT * FROM users WHERE id='$userid'。

我使用 $id 作为查看页面的人的用户 ID，但我必须将 $userid 设为一个变量，用于保存您正在查看的任何个人资料的 ID。

接下来我可以做这样的事情

$id=$_SESSION['id'];
$result3 = mysql_query("SELECT * FROM users where id='$userid'");
while($row3 = mysql_fetch_array($result3))
{ 
$username=$row3['username'];
$email=$row3['email'];
$firstname=$row3['firstname'];
$lastname=$row3['lastname'];
}

我想我的问题是如何使 $userid 等于您正在查看的任何个人资料并使链接 profile.php?userid=8 将您带到用户 8。

有人有想法吗？ :)

Answer 1

最短的答案是

$userid = mysql_real_escape_string($_GET['id']);
$result3 = mysql_query(....);
//....

答案的较长版本是，您不应该使用 mysql_query，因为它已被弃用，并将在较新版本中删除。您可以移动到 PDO 或 mysqli。假设您想坚持使用遗留函数 mysql_*，您需要使用 mysql_real_escape_string 来保护自己免受 SQL 注入(inject)攻击。但是，如果mysql_real_escape_string使用不当，您将无法被注入(inject)。