0

我写了一个非常简单的函数:

function editCategory() {
    $ID         = urlencode($_GET['id']);
    $cname   = mysql_fix_string($_POST['cname']);
    $kabst   = mysql_fix_string($_POST['kabst']);
    $kselect    = $_POST['kselect'];
    $subsl      = $_POST['subsl'];
    $kradio     = $_POST['kradio'];
    $ksubmit    = $_POST['ksubmit'];

    if (isset($ksubmit)) {
        $query = "UPDATE category SET name = '$cname', description = '$kabst', published = '$kselect',  home = '$kradio', subcat = '$subsl'  WHERE id = $ID ";

        $result = mysql_query($query);
        if (mysql_affected_rows () == 1) {
            echo "ok";
        }
        else{
            echo mysql_error();
        }
    }
}

function mysql_fix_string($string)
{
    if (get_magic_quotes_gpc())
        $string = stripslashes(($string));
    return mysql_real_escape_string($string);
}

错误:

您的 SQL 语法有错误;检查与您的 MySQL 服务器版本相对应的手册,以在第 1 行的 '' 附近使用正确的语法

怎么了?

4

4 回答 4

6 
$ID         = intval($_GET['id']); //using urlencode here is weird
$cname      =  mysql_real_escape_string($_POST['cname']); 
//and the same for the rest ALL.
$kradio     = mysql_real_escape_string($_POST['kradio']);

还,

$ksubmit    = $_POST['ksubmit']; 
if (isset($ksubmit)) {

是没有意义的。$ksubmit 将始终设置它应该是

if (isset($_POST['ksubmit'])) {

为确保您拥有所有变量,请在脚本顶部添加以下行:

ini_set('display_errors',1);
error_reporting(E_ALL);
于 2010-04-03T13:56:45.317 回答
1

您必须确保:

  • 对于数据库中的字符串(varchar/char)字段:
    • 您传递的值用引号正确括起来
    • 您传递的值的内容必须被转义:如果用户发布的内容中有引号,则必须对其进行转义 - 请参阅mysql_real_escape_string
  • 对于 DB 中的整数字段:
    • 您必须传递整数值
    • 这可以通过调用intval用户发布的值来确保


在这里,您可能应该:

  • 使用intval()$_GET['id']
  • 在其他一些领域使用mysql_real_escape_string
    • 从查询来看,除了所有字段id都用单引号括起来,我想说你必须mysql_real_escape_string在所有字段上使用——id当然,除了。


作为旁注:

  • 您正在$_GET使用id
  • 对于其他一切$_POST

这是故意的吗?

于 2010-04-03T13:59:11.023 回答
0

听起来像一个空变量。

并且对 SQL 注入做一些事情,每个人都可以破解你的数据库。运气好的话,你就是那个杀死你的数据库的人......使用 mysql_real_escape_string() 将所有用户输入到你的查询中。

于 2010-04-03T13:58:17.473 回答
0

这是一个非常简单的 CRU D应用程序的示例,只是为了展示如何传递一个 id:

<?
mysql_connect();
mysql_select_db("new");
$table="test";
if($_SERVER['REQUEST_METHOD']=='POST') { //form handler part:
  $name = mysql_real_escape_string($_POST['name']);
  if ($id=intval($_POST['id'])) {
    $query="UPDATE $table SET name='$name' WHERE id=$id";
  } else {
    $query="INSERT INTO $table SET name='$name'";
  }
  mysql_query($query) or trigger_error(mysql_error()." in ".$query);
  header("Location: http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);
  exit;
}
if (!isset($_GET['id'])) { //listing part:
  $LIST=array();
  $query="SELECT * FROM $table";
  $res=mysql_query($query);
  while($row=mysql_fetch_assoc($res)) $LIST[]=$row;
  include 'list.php';
} else { // form displaying part:

  if ($id=intval($_GET['id'])) {
    $query="SELECT * FROM $table WHERE id=$id";
    $res=mysql_query($query);
    $row=mysql_fetch_assoc($res);
    foreach ($row as $k => $v) $row[$k]=htmlspecialchars($v);
  } else {
    $row['name']='';
    $row['id']=0;
  }
  include 'form.php';
}
?>

文件form.php:

<form method="POST">
<input type="text" name="name" value="<?=$row['name']?>"><br>
<input type="hidden" name="id" value="<?=$row['id']?>">
<input type="submit"><br>
<a href="?">Return to the list</a>
</form>

文件列表.php:

<a href="?id=0">Add item</a>
<? foreach ($LIST as $row): ?>
<li><a href="?id=<?=$row['id']?>"><?=$row['name']?></a>
<? endforeach ?>
于 2010-04-03T15:14:35.137 回答