-5 
$query = '
PREPARE statement FROM
"INSERT INTO games_new
(
    gamedate,
    hometeam,
    visitors,
    result,
    matchreport,
    battedfirst,
    fieldedfirst,
    battedfirstruns,
    battedfirstextras,
    battedfirsttotal,
    battedsecond,
    fieldedsecond,
    battedsecondruns,
    battedsecondextras,
    battedsecondtotal
)
VALUES
(
    ?,?,?,?,?,?,?,?,?,?,?,?,?,?,?
)
"';
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
$query =
'SET @gamedate = $_POST["gamedate"],' .
'@hometeam = $_POST["hometeam"],' .
'@visitors = $_POST["visitors"],' .
'@result = $_POST["result"],' .
'@matchreport = $_POST["matchreport"],' .
'@battedfirst = $_POST["battedfirst"],' .
'@fieldedfirst = $_POST["fieldedfirst"],' .
'@battedfirstruns = $_POST["battedfirstruns"],' .
'@battedfirstextras = $_POST["battedfirstextras"],' .
'@battedfirsttotal = $_POST["battedfirsttotal"],' .
'@battedsecond = $_POST["battedsecond"],' .
'@fieldedsecond = $_POST["fieldedsecond"],' .
'@battedsecondruns = $_POST["battedsecondruns"],' .
'@battedsecondextras = $_POST["battedsecondextras"],' .
'@battedsecondtotal = $_POST["battedsecondtotal"]'
;
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
$query = '
EXECUTE statement USING
    @gamedate,
    @hometeam,
    @visitors,
    @result,
    @matchreport,
    @battedfirst,
    @fieldedfirst,
    @battedfirstruns,
    @battedfirstextras,
    @battedfirsttotal,
    @battedsecond,
    @fieldedsecond,
    @battedsecondruns,
    @battedsecondextras,
    @battedsecondtotal
';
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
$query = 'DEALLOCATE PREPARE statement';
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}

我收到此语法错误:

数据库访问失败:您的 SQL 语法有错误;检查与您的 MySQL 服务器版本相对应的手册,以在 '["gamedate"],@hometeam = $_POST["hometeam"],@visitors = $_POST["visitors"],@resu' 附近使用正确的语法

有任何想法吗?谢谢。

4

4 回答 4

5

首先,了解php中单(')和双("引号字符串的区别。

其次,不建议再使用mysql_函数。使用MySQLiPDO

所以你应该使用:

"SET @gamedate = '{$_POST['gamedate']}'"

而不是用'. 或者更确切地说:

'SET @gamedate = "' . mysql_real_escape_string( $_POST['gamedate'], $conn) . '"'

或者您可以以正确的方式进行操作(例如使用PDO::prepare):

$sql = 'SET @gamedate = :gamedate';
$sth = $dbh->prepare($sql); // $dbh is instance of PDO
$sth->execute(array(':gamedate' => '...'));
于 2012-10-10T15:36:51.367 回答
4

为此用途:

mysqli_prepare ( $link , $query );

例子:

$mysqli = new mysqli("localhost", "user", "pwd", "db");
$stmt = mysqli_prepare($link, "INSERT INTO games_new
( gamedate, hometeam, visitors, result, matchreport, battedfirst, fieldedfirst, battedfirstruns, battedfirstextras, battedfirsttotal, battedsecond, fieldedsecond, battedsecondruns, battedsecondextras, battedsecondtotal )
VALUES
(?,?,?,?,?,?,?,?,?,?,?,?,?,?,?)");

mysqli_stmt_bind_param($stmt, "ssssssssssssss",
    $_POST["hometeam"],
    $_POST["visitors"],
    $_POST["result"],
    $_POST["matchreport"],
    $_POST["battedfirst"],
    $_POST["fieldedfirst"],
    $_POST["battedfirstruns"],
    $_POST["battedfirstextras"],
    $_POST["battedfirsttotal"],
    $_POST["battedsecond"],
    $_POST["fieldedsecond"],
    $_POST["battedsecondruns"],
    $_POST["battedsecondextras"],
    $_POST["battedsecondtotal"]
);

mysqli_stmt_execute($stmt);
mysqli_stmt_close($stmt);
mysqli_close($link);
于 2012-10-10T15:43:13.087 回答
1 
$query =
'SET @gamedate = $_POST["gamedate"],' .

因为这是在单引号中,$_POST["gamedate"]所以不评估。你应该这样做:

$query =
"SET @gamedate = {$_POST['gamedate']}," .

但是,$_POST像这样直接使用参数最终会使您的网站通过 SQL 注入被黑客入侵。

于 2012-10-10T15:34:54.610 回答
-2 
'@battedsecond = $_POST["battedsecond"],'

由于您使用的是简单引号,因此您不能将变量直接放入字符串中。要么使用双引号,要么使用连接。

"@battedsecond = {$_POST["battedsecond"]},"
//OR
'@battedsecond = '.$_POST["battedsecond"].','
于 2012-10-10T15:35:25.177 回答