Requête MySQL basée sur l'entrée de l'utilisateur

En réalité...

// Read input from $_POST
$uid = (isset($_POST['uid']) ? $_POST['uid'] : '');

// Build query.  Properly escape input data.
$query = 
  "SELECT name,age " .
  "FROM people " .
  "WHERE uid = '" . mysql_real_escape_string($uid) . "' " . 
  "LIMIT 0,1";

Il est conseillé d'échapper les caractères dans la variable pour des raisons de sécurité. Jetez un œil à ce document pour certaines des raisons :

http://en.wikipedia.org/wiki/SQL_injection

Comment mettre à jour une table pour ajouter une clé primaire et mettre à jour toutes les lignes existantes avec des ID incrémentés ?

Ligne aléatoire à partir du résultat d'une grande requête

Importer 'xml' dans SQL Server
Similitudes et différences entre les fonctions RANK, DENSE_RANK et ROW_NUMBER
Quelle est la signification de 1/1/1753 dans SQL Server ?
Migration de MySQL vers PostgreSQL sur AWS RDS, partie 1