0

我目前正在尝试创建一个画廊上传页面,该页面允许用户选择一个专辑,专辑 ID 是下拉菜单中的值。选择他们选择的相册后,图像会被上传,并将图像 URL、ID、日期和相册等数据添加到表格中。尽管在下拉菜单中发布用户定义的值时遇到问题,但我已经设法将专辑 ID 添加到表中。

我在上传图片时收到此错误:

无法运行查询:您的 SQL 语法有错误;检查与您的 MySQL 服务器版本相对应的手册,以在第 1 行的 '[album]' 附近使用正确的语法

任何帮助将不胜感激,因为 MySQL 并不是我真正了解的领域,谢谢:)!

我的表格:

<form action="assets/includes/upload.php" method="post" enctype="multipart/form-data">
    <select name="album">
         <? uploadList(); ?>
    </select><br>
    <input type="file" name="file" id="file" style="margin-top:37px; margin-left: 3px;"><br>
    <input type="submit" name="submit" value="Submit" class="btn btn-primary" style="margin-left: 57px;">
</form>

在upload.php页面上执行的功能:

function imageUpload() {
$id = ('$_POST[album]'); /////////// Focus being on this section ///////////        
$con = mysql_connect("localhost","$username","$password");
mysql_select_db("$dbname", $con);
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
    $query2 = mysql_query("SELECT id,title,date FROM galleries WHERE id = $id");
    if (!$query2) {
        echo 'Could not run query: ' . mysql_error();
        exit;
    }
 $row = mysql_fetch_row($query2);
$allowedExts = array("jpg", "jpeg", "gif", "png");
$extension = end(explode(".", $_FILES["file"]["name"]));
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/png")
|| ($_FILES["file"]["type"] == "image/pjpeg"))
&& in_array($extension, $allowedExts))
  {
  if ($_FILES["file"]["error"] > 0)
    {
    echo "Return Code: " . $_FILES["file"]["error"] . "<br>";
    }
  else
    {
    echo "Upload: " . $_FILES["file"]["name"] . "<br>";
    echo "Type: " . $_FILES["file"]["type"] . "<br>";
    echo "Size: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";
    echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br>";

    if (file_exists("../../images/" . $_FILES["file"]["name"]))
      {
      echo $_FILES["file"]["name"] . " already exists. ";
      }
    else
      {
      $file = $_FILES["file"]["name"];
      move_uploaded_file($_FILES["file"]["tmp_name"],
      "../../images/" . $_FILES["file"]["name"]);
      $sql="INSERT INTO images (url, gallery)
        VALUES
      ('$file','$id')";

if (!mysql_query($sql,$con))
  {
  die('Error: ' . mysql_error());
  }
      }
    }
  }
else
  {
  echo "Invalid file";
  }

}

4

1 回答 1

1

在您的 PHP 的第二行中,您有$id = ('$_POST[album]');. 这里发生的只是$id用文字字符串“填充” '$_POST[album]'。您需要对其进行更改,使其变为:

$id = intval($_POST['album']);

现在您正在album全局 $_POST 数组中读取 的值。

请注意您的代码容易受到SQL 注入的影响,请采取适当的措施来缓解它intval()当您阅读有关该主题的更多信息时,我为您添加了基本保护。

于 2013-03-16T21:41:19.493 回答