查询不适用于 amp inside URL

Question

让我尽可能解释清楚。

我有一个名为 funcs.php 的 PHP 文件，其中正是这个 PHP 代码：

$q = $_GET["q"];

$sql = "SELECT * FROM bl_zrify WHERE Name = '".$q."'";

$result = mysql_query($sql);
while($row = mysql_fetch_array($result))
  {

  if ($row['State'] == '') {
    $SchoolState = 'Unknown';
  }
  else if ($row['State'] == 'AL') {
    $SchoolState = 'Alabama';
  } 
  else if ($row['State'] == 'AK') {
    $SchoolState = 'Alaska';
  } 
  else if ($row['State'] == 'AZ') {
    $SchoolState = 'Arizona';
  }
  else if ($row['State'] == 'AR') {
    $SchoolState = 'Arkansas';
  }

  print 'This school is in';
  print $SchoolState;
  }

当我在浏览器中调用时：

网址示例 => http://www.domain.com/funcs.php?q=ABRAHAM BALDWIN AGRICULTURAL COLLEGE

它正常工作并返回 => 这所学校在阿拉巴马州

但是，当我在浏览器中调用任何包含 & (&) 的 URL 时，将根本无法工作：

url 示例 => http://www.domain.com/funcs.php?q=BRYANT 和 STRATTON 商学院 - 布法罗

我不知道为什么，但由于某种原因，当 URL 中有 amp (&) 时我没有得到任何结果，请帮助！

Answer 1

funcs.php?q=BRYANT & STRATTON BUSINESS INSTITUTE - BUFFALO

您正在传递两个变量。做一个var_dump($_GET);，你会看到。

你的意思可能是：

funcs.php?q=BRYANT+%26+STRATTON+BUSINESS+INSTITUTE+-+BUFFALO

要在 URL 中传递参数值，它们需要正确的编码。也称为 url 编码。 &是特殊字符，需要写成%26，空格也是特殊字符，可以写成+或%2b。也称为百分比或三元组编码。

执行此操作的 PHP 函数是：urlencode^Docs。

在任何情况下，您都需要对 SQL 查询的搜索词进行正确编码，否则您会允许其他人更改 SQL 查询并执行诸如搜索超出您想要的范围之类的操作，甚至删除您的数据库。这比丢失一半变量的值更严重。

请参阅：Best way to stop SQL Injection in PHP

Answer 2

'&' 分隔 URL 参数。您的第二个查询有一个等于“BRYANT”的参数q 和一个没有值的参数STRATTON BUSINESS…。