-4

我是 PHP 和 MySQL 的新手,没有人可以帮助我,所以我在这里问。我试图更新它显示一些错误的数据库。谁能帮我更正下面的代码?

数据库字段是s.no, name, description, `top_banner_image

这是代码:

     <?
      php
       if(isset($_POST['submit']))
      {

       $product_name=$_POST['product_name'];
      $description=$_POST['description'];
      $photo_n=$_FILES['baner_image']['name'];
      move_uploaded_file($_FILES['top_banner_image']['tmp_name'],           

   $sql="INSERT INTO product_catergory (product_name, description, top_banner_image)
      VALUES
   ('$_POST[product_image]','$_POST[description]','$_POST[top_banner_image]')";

    if (!mysqli_query($con,$sql))
    {
    die('Error: ' . mysqli_error($con));
    }
  echo "1 record added";

  mysqli_close($con);
 ?>
<?php include("foot.php"); ?>
4

2 回答 2

0 
$product_name=$_POST['product_name'];
$description=$_POST['description'];
$photo_n=$_FILES['baner_image']['name'];          

$sql="INSERT INTO product_category (product_name, description, top_banner_image) VALUES
('$_POST[product_image]','$_POST[description]','$_POST[top_banner_image]')";

我看到的第一件事是错误的-> 如果不使用变量,为什么要创建变量?$product_name, $photo_n不使用,$description应该在插入语句中,但如果你已经写$_POST['description']了那么那个变量就不需要了,也像人们在评论中提到的那样测试sql注入

于 2013-04-24T08:58:44.390 回答
0 
$sql="INSERT INTO `product_catergory` (`product_name`, `description`, `top_banner_image`)
      VALUES
   ('".$_POST[product_image]."','".$_POST[description]."','".$_POST[top_banner_image]."')";

顺便说一句,你拼错了“类别”。

于 2013-04-23T17:29:38.443 回答