1

我收到此错误:

Query failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' ,,)' at line 2

在这个 PHP 代码上:

<?php

$id = $_POST['id'];
$longitude = $_POST['longitude'];
$latitude = $_POST['latitude'];
$timestamp = $_POST['stringFromDate'];



$link = mysql_connect('server', 'user', 'pass')
or die('Could not connect: ' . mysql_error());

mysql_select_db('db_name') or die('Could not select database');

// Performing SQL query
$query="INSERT INTO locatie (id, longitude, latitude, timestamp) 
VALUES ($id, $longitude,$latitude,$timestamp)";
$result = mysql_query($query) or die('Query failed: ' . mysql_error());
echo "OK";

// Free resultset
mysql_free_result($result);

// Closing connection
mysql_close($link);
?>

我是初学者,所以我不知道我做错了什么

编辑:这是写入 php 文件的代码:

 - (void)myFuntionThatWritesToDatabaseInBackgroundWithLatitude:(NSString *)latitude  longitude:(NSString *)longitude date:

 (NSString *)stringFromDate {


_phonenumber = [[NSUserDefaults standardUserDefaults] objectForKey:@"phoneNumber"];

NSMutableString *postString = [NSMutableString stringWithString:kPostURL];
NSString*jsonString = [[NSString alloc] initWithFormat:@"{\"id\":\"%@\",\"longitude\":\"%@\",\"latitude\":\"%@\",\"timestamp\":\"%@\"}",_phonenumber, longitude , latitude, stringFromDate];

[postString appendString:[NSString stringWithFormat:@"?data=%@", jsonString]];
[postString setString:[postString stringByAddingPercentEscapesUsingEncoding:NSUTF8StringEncoding]];
NSMutableURLRequest *request = [[NSMutableURLRequest alloc] initWithURL:[NSURL URLWithString:postString ]];
[request setHTTPMethod:@"POST"];

[[NSURLConnection alloc] initWithRequest:request delegate:self ];
NSLog(@"Post String =%@", postString);


//    LocationTestViewController*locationTestViewController = [[LocationTestViewController alloc]init];
//    phonenumber = locationTestViewController.telefoonnummer;
NSLog(@"HERE1 : %@", _phonenumber);





 }
4

5 回答 5

2

问题 1:您正在使用这些mysql_*功能。它们有一个红色警告框,告诉您不要出于某种原因使用它们。

问题 2:您没有转义数据。这使您容易受到由意外输入引起的 XSS 攻击和 SQL 语法错误的攻击。

问题 3:您没有在 SQL 查询中引用您的数据。

所有这三个问题都可以通过使用需要现代 API(解决问题 1)并自动引用和转义数据(解决问题 2 和 3)的准备好的语句和参数化查询来解决。

于 2012-10-09T13:05:29.330 回答
0

我真的建议,就像@MichaelBerkowski 所说,你检查你的 POST 数据的内容。我很确定这些变量之一是完全空的:

$id = $_POST['id'];
$longitude = $_POST['longitude'];
$latitude = $_POST['latitude'];
$timestamp = $_POST['stringFromDate'];
于 2012-10-09T13:01:15.993 回答
0

也许您应该使用另一种表示法并防止 SQL 注入。

最好的方法是使用准备好的语句。

http://php.net/manual/de/pdo.prepared-statements.php

$id = $_POST['id'];
$longitude = $_POST['longitude'];
$latitude = $_POST['latitude'];
$timestamp = $_POST['stringFromDate'];

$stmt = $dbh->prepare("INSERT INTO locatie (id, longitude, latitude, timestamp) VALUES (?,?,?,?)");
$stmt->bindParam(1, $id);
$stmt->bindParam(2, $longitude);
$stmt->bindParam(3, $latitude);
$stmt->bindParam(4, $timestamp);
于 2012-10-09T13:07:12.153 回答
0

如果它们是文本,则需要添加引号:

$query="INSERT INTO locatie (id, longitude, latitude, timestamp) 
VALUES ($id, '$longitude','$latitude','$timestamp')";
于 2012-10-09T13:08:16.913 回答
-2

您应该将变量放在单个 '' 引号内

$query="INSERT INTO locatie (id, longitude, latitude, timestamp) VALUES ('$id', '$longitude','$latitude','$timestamp')";

于 2012-10-09T13:08:38.783 回答