1

这是从dba.stackexchange 转发的。

对于这样一个业余问题,我很抱歉,但我不知道为什么这不起作用。我有一个“add.php”来连接 MySQL 服务器。

/add.php

<?php
    include("connect.php");

    $link=Connection();

    $ID1=$_POST["ID1"];
    $ID2=$_POST["ID2"];
    $ID3=$_POST["ID3"];
    $ID4=$_POST["ID4"];
    $ID5=$_POST["ID5"];

    $query = "INSERT INTO Battery (ID01, ID02, ID03, ID04, ID05) 
        VALUES ('".$ID1."','".$ID2.",'".$ID3.",'".$ID4."','".$ID5."')"; 

    mysql_query($query,$link);
    mysql_close($link);

    header("Location: index.php");
?>

连接.php

<?php

    function Connection(){
        $server="mysql.randomserver.com";
        $user="random";
        $pass="1234";
        $db="random_1234";

        $connection = mysql_connect($server, $user, $pass);

        if (!$connection) {
            die('MySQL ERROR: ' . mysql_error());
        }

        mysql_select_db($db) or die( 'MySQL ERROR: '. mysql_error() );

        return $connection;
    }
?>

我使用一个简单的 HTTP 1.1 协议:

GET /add.php?ID1=1int&ID2=2char&ID3=3char&ID4=4int&ID5=2015-04-13 01:00:00 HTTP/1.1\r\nmyhost\r\nContent-Type: application/x-www-form-urlencoded\ r\n连接:关闭\r\n\r\n\r\n

其中ID1,ID4 是整数;ID2、ID3 字符;ID5 日期时间 (SQL)

主持人给我这个错误:

+IPD,168:<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<hr><center>hosting</center>
</body>
</html>

如果有人有任何想法让我尝试,我将不胜感激!我真的很无知...

修正:(moskito-x) '".$ID3.", to '".$ID3."',

更新:2015.04.22 13:56

好的,我试过了,它可以在我的主页上运行:Index.php(只需将整个 /add.php 代码复制到 /index.php 中)

$query= "INSERT INTO  Battery (ID01,ID02,ID03,ID04,ID05) 
        VALUES ('1int','2char','3char','4int','2015-04-22 17:20:28')";
$result = mysqli_query($link, $query)

但是如果我将它替换到 add.php 中,则不会插入任何行。

我按照其他人的建议更改了 add.php:

添加.php

<?php
    $link=Connection();
        $server="mysql.myhost.com";
        $user="randomUser";
        $pass="randomPwd";
        $db="radomdb";

    $link=mysqli_connect($server, $user, $pass, $db);


    $query = "INSERT INTO  Battery (ID01,ID02,ID03,ID04,ID05)
        VALUES ('1int','2char','3char','4int','2015-04-22 17:20:28')";
    mysqli_query($link, $query)
             mysqli_close($link);
    header("Location: index.php");
?>
4

2 回答 2

1

重要部分 $link=Connection();

  • 我们看不到代码Connection();
  • 你的查询是错误的
  • 评论中提到->您使用http GETso$ID1=$_POST["ID1"];是错误的。
'".$ID1."','".$ID2.",'".$ID3.",'".$ID4."','".$ID5."')";
//                  |         |
//                  |_________|____ here forget ' 

$query = "INSERT INTO Battery (ID01, ID02, ID03, ID04, ID05) 
    VALUES ('".$ID1."','".$ID2."','".$ID3."','".$ID4."','".$ID5."')";

编辑

现在我们可以在您编辑的问题中看到

其中 ID1,ID4 是整数;ID2、ID3 字符;ID5 时间戳

查询应该是(假设 TimeStamp ="20150421225300")字符串格式。

$query = "INSERT INTO Battery (ID01, ID02, ID03, ID04, ID05) 
    VALUES (".$ID1.",'".$ID2."','".$ID3."',".$ID4.",'".$ID5."')";
于 2015-04-21T20:35:02.173 回答
1

您在帖子中显示的 http 请求(_代表空行):

GET /add.php?ID1=1int&ID2=2char&ID3=3char&ID4=4int&ID5=2015-04-13 01:00:00 HTTP/1.1
myhost
Content-Type: application/x-www-form-urlencoded
Connection:close
_
_
_

这确实是bad request因为(a)您在 URI 中有未转义的空白字符,并且(b)第二行只是myhost当您可能的意思时读取Host: myhost(c)您有额外的\r\n(虽然不太可能造成麻烦),所以像这样:

POST /add.php?ID1=1int&ID2=2char&ID3=3char&ID4=4int&ID5=2015-04-13+01:00:00 HTTP/1.1
Host: myhost
Content-Type: application/x-www-form-urlencoded
Connection:close
_
_

当然,其他人所说的关于 SQL 注入的内容也适用。

于 2015-04-22T12:38:44.790 回答