1

这是我的 php 代码,它无法正常工作....

它不接受处于 if 条件的查询,并且每次执行 else 部分时...... 

  <?php
  include('admin/class.php');

** 这是我的数据库连接**

  $hostname="localhost";
  $username="root";
   $password="";

 $dbhandle = mysql_connect($hostname, $username, $password)
 or die("Unable to connect to MySQL");
  echo "Connected to MySQL<br>"; 
  $se = mysql_select_db("timesheet1234",$dbhandle)
  or die("Could not select timesheet1234");
 echo "connected to db";

 if(isset($_POST['save']))
   {  
   echo "post if";

 $sel=@$_POST['selpro'];
  $mon=@$_POST['mon'];
  $tue=@$_POST['tue'];
  $wed=@$_POST['wed'];
  $thu=@$_POST['thu'];
  $fri=@$_POST['fri'];
  $sat=@$_POST['sat'];
   $sun=@$_POST['sun'];

这是我的代码问题开始的地方,它不能正常工作

  if(isset($_SESSION['user']))
  {
   echo "session user";
        $sql="UPDATE empdaytimesheet SET `project  code`='$sel',`mon`='$mon',`tue`='$tue',`wed`='$wed',`thu`='$thu',`fri`='$fri',`sat`='$sat',`sun`='$sun' where `username`='".$_SESSION['user']."'";

 $res=mysql_query($sql,$dbhandle);
 if($res){
 echo "<script type='text/javascript'>";
 echo "alert('TimeSheet Saved..!')";
 echo "</script>";
 echo "<script type='text/javascript'>";
 echo "window.location='my_timesheet.php'";
 echo "</script>";
 }
  else
 {
 echo "<script type='text/javascript'>";
  echo "alert('Some Error Occured ! Retry..!')";
 echo "</script>";
 echo "<script type='text/javascript'>";
echo "window.location='my_timesheet.php'";
echo "</script>";
}
}
}
?>
4

2 回答 2

2 
UPDATE table empdaytimesheet SET...

不是有效的 SQL。你的意思可能是;

UPDATE empdaytimesheet SET...

此外,带有空格的列名需要用 - 在 MySQL 的情况下 - 反引号引起来,即;

UPDATE empdaytimesheet SET `project code`=...

您需要注意的是您对 SQL 注入持开放态度。如果有人发布sel包含单引号的值,他们可以重写您的 SQL。例如,使用Fiddler发布selas的值',username='会使您的 sql 也更新表的用户名列;

UPDATE empdaytimesheet SET `project code`='',username='',mon=...

一般来说,将未经检查的 post 变量放入 SQL 字符串是一件坏事。这是mysql_*API 被PDOand淘汰的一个重要原因mysqli,它们有处理这个问题的方法。

于 2013-05-11T07:12:55.297 回答
2

改变

$sql="UPDATE table empdaytimesheet SET project  code='$sel',...


$sql="UPDATE empdaytimesheet SET `project  code`='$sel', ...
             ^ no table here     ^             ^ backticks
于 2013-05-11T07:13:35.923 回答