$bookSQL=sprintf("UPDATE book SET pass=%s WHERE id=%d",
                              GetSQLValueString($_POST['list'], "text"),
                              GetSQLValueString($_GET['id'],"int"));

GetSQLValueString 這個函數，可以換成別的函數

但在sql語句這里用上sprintf()這個函數的話！就相對安全多了，比如id那里我們可以用上%d

或是有很多sql操作的時候，用上這個


$Result = $db->query($bookSQL) or die(mysql_error());


下面加上sprintf這個函數的說明:

引用
sprintf

將字符串格式化。

語法: string sprintf(string format, mixed [args]...);

返回值: 字符串

函數種類: 資料處理

內容說明

本函數用來將字符串格式化。參數 format 是轉換的格式，以百分比符號 % 開始到轉換字符為止。而在轉換的格式間依序包括了

填空字符。0 的話表示空格填 0；空格是默認值，表示空格就放著。
對齊方式。默認值為向右對齊，負號表向左對齊。
字段寬度。為最小寬度。
精確度。指在小數點后的浮點數位數。
類型，見下表 % 印出百分比符號，不轉換。
b 整數轉成二進位。
c 整數轉成對應的 ASCII 字符。
d 整數轉成十進位。
f 倍精確度數字轉成浮點數。
o 整數轉成八進位。
s 整數轉成字符串。
x 整數轉成小寫十六進位。
X 整數轉成大寫十六進位。 

php技術：php sprintf()函數讓你的sql操作更安全，轉載需保留來源！

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。