У меня было это обсуждение с высокой репутацией PHP guy:
PDO здесь бесполезно. а также mysql_real_escape_string. крайне низкое качество.
Это, конечно, классно, но я честно не знаю, что неправильно с предложением использовать mysql_real_escape_string
или PDO для исправления этого кода:
<script type="text/javascript">
var layer;
window.location.href = "example3.php?layer="+ layer;
<?php
//Make a MySQL connection
$query = "SELECT Category, COUNT(BUSNAME)
FROM ".$_GET['layer']." GROUP BY Category";
$result = mysql_query($query) or die(mysql_error());
В этот
$layer = mysql_real_escape_string($_GET['layer']);
$query = "SELECT Category, COUNT(BUSNAME)
FROM `".$layer."` GROUP BY Category";
учитывая, что код JavaScript получает клиентскую сторону.