sloyi, но никто не мешает формировать саму строку запроса, как тебе захочется. ;)

т.е. мне нужно через if прописывать все возможные варианты? т.к. у меня есть 3 параметра и они пустые. и при за просе если они пустые мы не обращаем на них внимание

Пример на COS...

s sql="SELECT * FROM table WHERE prop >= "+min
s:prm'="" sql=sql+" And prop <= "+ max
w !,sql

сейчас попробую но боюсь не получиться код не могу прочитать

Что именно использовать при формировании строки запроса - решать тебе. Вариантов реализации бывает ооочень много...

Ну, а я с ПХП не работаю... :)

Так ты пробовал это или нет? Вобще, не понял намека что-ли?

кончно не пробывал. А намек так себе если чесно

Ну ты подумал, и все-таки решил оставить в коде уязвимость sql-injection, верно?

Товарищ ТС, прекращайте заниматься садомазо. Так нетрадиционно-ориентированные делают:

$myrow_vendor = mysql_fetch_array($Subdivision_vendor);
do
    {
     echo $myrow_vendor['Name'];
     }
     while ($myrow_vendor = mysql_fetch_array($Subdivision_vendor));

Православные делают вот так:

while ($myrow_vendor = mysql_fetch_array($Subdivision_vendor))
     echo $myrow_vendor['Name'];