-3

所以我正在做一些关于使用 php 创建在线表单的自学。

在我的第一页上,我有以下内容:

<!doctype html>
<html>
<head>
<title> Hi </title>
</head>
<body>
<form method="POST" action="Page2.php">
Username: <input type="text" name="username" >
Password: <input type="text" name="password" >
<input type="submit" name="submit" value="submit">
</body>
</html>

在我的第二页(Page2.php):

 <?php


     if($_POST["submit"] == "submit")
     {
             $username=$_POST["username"];
             $password=$_POST["password"];

    $db = mysql_connect("localhost","root","root");
    if(!$db) die("Error connecting to MySQL database.");
    mysql_select_db("testdatabase" ,$db);

    $sql="INSERT INTO testdatabase_table ('username', 'password') VALUES (". PrepSQL($username) . "," . PrepSQL($password) . ")";

    $query=mysql_query($sql);
    echo $query;
    if(!$query)
    {
        echo "Failed".mysql_error();
    }


    exit();


    }
                function PrepSQL($value)
                {
                // Stripslashes
                if(get_magic_quotes_gpc()) 
                {
                   $value = stripslashes($value);
                }

                  // Quote
                  $value = "'" . mysql_real_escape_string($value) . "'";

                  return($value);
               }
?>

这是我得到的错误:FailedYou have an error in your SQL syntax; 检查与您的 MySQL 服务器版本相对应的手册,以在第 1 行的 ''username', 'password') VALUES (' ', ' ')' 附近使用正确的语法

任何快速的建议将不胜感激,谢谢。

4

3 回答 3

1

使用反引号来转义列名和表名,而不是引号

INSERT INTO testdatabase_table (`username`, `password`) VALUES ...
于 2013-06-22T23:53:14.523 回答
0

省略列列表中的单引号:

INSERT INTO testdatabase_table (username, password) VALUES ...
于 2013-06-22T23:53:16.110 回答
0

这将适用于您的代码。

$userSafe = PrepSQL($username);
$passSafe = PrepSQL($password);
    $sql="INSERT INTO testdatabase_table ('username', 'password') VALUES ('$username','$password')";

但是你应该使用某种类型的加密/哈希,我也测试过。

$username = mysqli_real_escape_string($dbc, filter_var(($_POST['username']), FILTER_SANITIZE_STRING));
$password = mysqli_real_escape_string($dbc, filter_var(($_POST['password']), FILTER_SANITIZE_STRING));
    $passhash = hash('sha512', $password);

$sql="INSERT INTO testdatabase_table ('username', 'password') VALUES ('$username','$password')";
于 2016-06-02T05:29:40.383 回答