2

我在 PHP 中有一个函数,可以将值插入到 MYSQL 表中。

function insertRow($db, $new_table, $ID, $Partner, $Merchant)
{
    $insert = "INSERT INTO " .$new_table. " VALUES(number, "string", "string")"
    $q = mysqli_query($db, $insert);
}

我正在努力定制 VALUES 部分。我需要数字、字符串和字符串分别是 PHP 中的 ID、Partner 和 Merchant 变量。

我试过了

function insertRow($db, $new_table, $ID, $Partner, $Merchant)
{
    $insert = "INSERT INTO " .$new_table. " VALUES(" .$ID . $Partner . $Merchant . ")";
    $q = mysqli_query($db, $insert);
}

也是。但它似乎不起作用,因为对于 SQL,字符串值必须用引号括起来。但是,如果我更改代码,使其 ."$ID" 。“$伙伴”。“$商人”。")"; 因此变量根据需要放在引号中,它们不再是 PHP 变量。如何让我的 PHP 变量包含在引号中,以便正确执行 SQL?

4

7 回答 7

4

使用连接的其他答案是简单的答案。最好的方法是使用准备好的语句,这将使您的代码更加安全。

$insert = "INSERT INTO " .$new_table. " VALUES(?, ?, ?)";
$q = mysqli_prepare($db, $insert);
mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
mysqli_stmt_execute($q);

进行参数化查询意味着您的查询和数据是分开发送的。这意味着查询的结构已经存在,因此不能被插入数据中的任何其他内容更改,这意味着您可以安全地避免 SQL 注入。

请参阅 PHP 手册:

于 2012-06-22T19:54:47.790 回答
1

好吧,有很多方法可以做到这一点:

字符串连接

注意数据库除外的数据类型。在您的问题中,您错过了分隔值的逗号:

$insert = 'INSERT INTO ' . $new_table . ' VALUES(' . $ID . ', \'' . $Partner . '\', \'' . $Merchant '\')';

有很多方法可以修改字符串连接示例。考虑有关单引号和双引号的 php 文档。在您的示例中,您在单引号的含义中使用了双引号。使用双引号,您可以将变量直接放入其中。所以我把它改成了单引号。

冲刺

$insert = sprintf('INSERT INTO %s VALUES(%s, \'%s\', \'%s\');', $new_table, $ID, $Partner, $Merchant);

有关此便捷功能的更多信息,请参阅文档:http ://www.php.net/sprintf

准备好的报表

由于SQL Injection,我宁愿建议您使用此方法。在上面的示例中,您需要注意字符串转义。可与mysql_real_escape. 但它可能不适用于所有场景。

因此,准备好的语句要好得多:

$insert = 'INSERT INTO ' .$new_table. ' VALUES(?, ?, ?)';
$q = mysqli_prepare($db, $insert);
mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
mysqli_stmt_execute($q);

PS:使用面向对象的方式对于准备好的语句也更好,因为你有更多的机会这样做。请参阅文档以了解MySQLi类样式和PDO.

于 2017-05-10T13:28:35.037 回答
0 
$insert = "INSERT INTO $new_table VALUES($ID,'$Partner','$Merchant')";
于 2012-06-22T19:52:55.540 回答
0

级联

$insert = "INSERT INTO " .$new_table. " VALUES(".$ID.", '".$Partner."', "."'"$Merchant"')";
于 2012-06-22T19:49:02.493 回答
0

尝试这个:

function insertRow($db, $new_table, $ID, $Partner, $Merchant)
{
    $insert = "INSERT INTO " .$new_table. " VALUES( '" .$ID."','" . $Partner."','". $Merchant . "')";
    $q = mysqli_query($db, $insert);
}

或者你可以使用

function insertRow($db, $new_table, $ID, $Partner, $Merchant)
{
    $insert = "INSERT INTO " .$new_table. " VALUES( '$ID','$Partner','$Merchant')";
    $q = mysqli_query($db, $insert);
}
于 2012-06-22T19:49:02.563 回答
0

嗯......它是一个查询与它只是一个像任何其他字符串一样的事实没有区别。你完全有能力增加$new_table价值,那么是什么阻止你做其他事情呢?

$insert = "INSERT INTO ".$new_table." VALUES (".$ID.", '".$Partner."', '".$Merchant.")";

这假设您已经采取了必要的步骤来清理这些值。

于 2012-06-22T19:49:19.140 回答
0

尝试这个:

$insert = "INSERT INTO $new_table VALUES(number, '{$string}', '{$string}')";
于 2012-06-22T19:51:23.087 回答