Bạn quên mysql_query
, thay đổi:
// Select database
mysql_select_db("teste") or die(mysql_error());
// Get data from the database
$strSQL = "SELECT id_quarto,tipo_quarto,vista_quarto FROM quartos,reservas WHERE quartos.id_quarto!=reservas.id_quarto AND quartos.tipo_quarto='". $_POST['tipo_quarto'] ."' AND quartos.vista_quarto='". $_POST['vista_quarto'] ."'";
// Loop the recordset $rs
// Each row will be made into an array ($row) using mysql_fetch_array
while($row = mysql_fetch_array($rs)) {
tới:
// Select database
mysql_select_db("teste") or die(mysql_error());
// Get data from the database
$strSQL = "SELECT q.id_quarto, q.tipo_quarto, q.vista_quarto ".
" FROM quartos q, reservas r".
" WHERE q.id_quarto != r.id_quarto ".
" AND q.tipo_quarto = '". mysql_real_escape_string($_POST['tipo_quarto']) ."' ".
" AND q.vista_quarto = '". mysql_real_escape_string($_POST['vista_quarto']) ."'";
$rs = mysql_query($strSQL);
// Loop the recordset $rs
// Each row will be made into an array ($row) using mysql_fetch_array
while($row = mysql_fetch_array($rs)) {
Đã thêm :Ngăn chặn việc đưa vào SQL bằng cách sử dụng mysql_real_escape_string
trên mỗi thông số từ người dùng.
