-3

我有一个我正在尝试运行的 MySQL 查询,但我不知道如何修复它。

$sql="INSERT INTO ratings (epoch, ip, step, maxstep, threadid) VALUES
('."shell_exec(date             +%s.)".','.mysql_real_escape_string(inet_pton($_COOKIE[".id."])).','.$page.', '.$pagedecode[".numpages."].', '.$ourid.')'";

我知道这真的很糟糕 :( 解析错误:语法错误,意外的 '"',期待 T_STRING 或 T_VARIABLE 或 T_NUM_STRING

谢谢杰米

4

1 回答 1

1 
$sql = "INSERT INTO ratings (epoch, ip, step, maxstep, threadid) VALUES ('" . shell_exec(date +%s.) . "','" . mysql_real_escape_string(inet_pton($_COOKIE[id])). "','" . $page . "','".$pagedecode[numpages]."', '".$ourid."')'";

但查询易受攻击SQL Injection。请阅读下面的文章以了解如何预防

于 2012-12-24T02:59:40.710 回答