-1

insert.php落后htaccess/passwd

它从外部源获取数据,然后将其转换为变量以插入数据库。

我收到一个 mysql 错误,我认为这是由外部源中存在左右括号(即(此处的一些文本))引起的。

我用过mysql_real_escape_string,但在这种情况下似乎不起作用。 

$con = mysql_connect("localhost","user_name","password");
if (!$con)
{
    die('Could not connect: ' . mysql_error());
}

mysql_select_db("user_dbname", $con);

// escape characters
$escaped_value = mysql_real_escape_string($var);

$sql = "INSERT INTO data (field1, field2, field3, field4, field5, field6)
        VALUES ('$_POST[field1]','$_POST[field2]','$_POST[field3]','$_POST[field4]',
                '$field5','$escaped_value', )";
;
4

3 回答 3

0

使用 mysql_real_escape_string 方法,您可以将变量放在 {} 字符之间

于 2012-11-06T13:17:12.913 回答
0

在导致查询失败的最后一个数据字段之后有一个逗号。此外,您应该将 $_POST 数组变量称为$_POST['field1']而不是$_POST[field1]

尝试

$sql = "INSERT INTO data (field1, field2, field3, field4, field5, field6)
    VALUES ('".$_POST['field1']."','".$_POST['field2']."','".$_POST['field3']."','".$_POST['field4']."',
            '$field5','$escaped_value')";

实际上,mysql_real_escape_string这是您的问题中最少的。:)

于 2012-11-06T13:20:43.417 回答
0

最好的方法是使用准备好的语句,你最终还是不得不这样做:看到红框了吗?mysql_*扩展已被弃用。使用替代方案:PDOmysqli_*

try
{
    $db = new PDO();//connect, pass correct data here
    $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);//cause PDO to throw PDOExceptions on error
    $stmt = $db->prepare('INSERT INTO data (field1, field2, field3, field4, field5, field6)
            VALUES (:field1, :field2,:field3,:field4, :field5,:field6)');
    //make array with values, no need to use escape-functions on $var:
    $bind = array(':field1' => $_POST['field1'],':field2' => $_POST['field2'],
                  ':field3' => $_POST['field3'],':field4' => $_POST['field4'],
                  ':field5' => $field5,':field6' => $var);
    if ($stmt->execute($bind))//pass array here
    {
        return true;//data inserted
    }
}
catch(PDOException $e)
{
    echo $e->getMessage();
    $db = null;
    return false;
}
于 2012-11-06T13:25:41.993 回答