0

我有以下功能:

function insert($database, $table, $data_array)
{
# Connect to MySQL server and select database
$mysql_connect = connect_to_database();
mysql_select_db ($database, $mysql_connect);

# Create column and data values for SQL command
foreach ($data_array as $key => $value) 
    {
    $tmp_col[] = $key;
    $tmp_dat[] = "'$value'";
    }
 $columns = join(",", $tmp_col);
 $data = join(",", $tmp_dat);

# Create and execute SQL command
$sql = "INSERT INTO ".$table."(".$columns.")VALUES(". $data.");";
$result = mysql_query($sql, $mysql_connect);

# Report SQL error, if one occured, otherwise return result
if(mysql_error($mysql_connect))
    {
    echo "MySQL Update Error: ".mysql_error($mysql_connect);
    $result = "";
    }
else
    {
    return $result;
    }
}

php中的值如下:

$content_table = "p_content";
$insert_array['title'] = $title;
    $insert_array['content'] = $content;
$insert_array['url'] = $get_source;
$insert_array['video'] = $video;
$insert_array['date'] = $date;
insert(DATABASE, $content_table, $insert_array);

所有这一切的结果添加了一行带有 id(key、autoimcrement)、url 和 date 的行。标题、内容和视频为空白。如果我回显标题我得到正确的结果,如果我 var_dump 标题我得到字符串(15)“blablablabla”,再次正确。

现在,如果我手动设置 $title = "asdf"; 它被正确插入。内容和视频也是如此。

表结构

id int(8) 无符号 NO PRI NULL auto_increment

标题 varchar(1000) 是 NULL

内容长文本 YES NULL

视频 varchar(3000) 是 NULL

url varchar(300) 是 NULL

日期 日期 YES NULL

4

2 回答 2

0

尝试:

function insert($database, $table, $data_array)
{
    # Connect to MySQL server and select database
    $mysql_connect = connect_to_database();
    mysql_select_db($database, $mysql_connect);

    $cols = array();
    $vals = array();
    foreach ($data_array as $key => $value) {
        $cols[] = "`" . $key . "`";
        if (is_int($value) || is_float($value)) {
            $vals[] = $value;
        } else {
            $vals[] = "'" . mysql_real_escape_string($value) . "'";
        }
    }

    $sql = "INSERT INTO " . $table
         . ' (' . implode(', ', $cols) . ') '
         . 'VALUES (' . implode(', ', $vals) . ')';

    $result = mysql_query($sql, $mysql_connect);

    # Report SQL error, if one occured, otherwise return result
    if(mysql_error($mysql_connect)) {
        echo "MySQL Update Error: " . mysql_error($mysql_connect);
        $result = ""; // FIXME should probably return false here
    } else {
        return $result;
    }
}

重要的

您的代码和上面的代码可能容易受到 SQL 注入的攻击。去了解他们。

于 2013-02-17T00:18:03.517 回答
0

尝试在变量中添加引号。:-) 原因是您的 MYSQL 列类型设置为 VARCHAR。并且插入数据要求您用引号将插入内容括起来。

顺便说一句,如果这是新代码,我建议切换到 MYSQLI 或 PDO 库。

于 2013-02-17T00:20:34.503 回答