首頁猿問如何在MySQL...

如何在MySQL INSERT語句中包含PHP變量

PHP MySQL

月關寶盒 2019-06-26 13:47:08

如何在MySQL INSERT語句中包含PHP變量我試圖在Content表中插入值。如果在值中沒有PHP變量，它可以正常工作。當我把變量$type內部值，這是行不通的。我做錯什么了？$type = 'testing';mysql_query("INSERT INTO contents (type, reporter, description) VALUES($type, 'john', 'whatever')");

查看完整描述

3 回答

慕婉清6462132

TA貢獻1804條經驗獲得超2個贊

將字符串添加到查詢中的規則簡單明了：

字符串應該用引號括起來。
因此，這些引號應該在數據中轉義，以及一些其他字符，使用
mysql_real_escape_string()

所以，您的代碼變成

$type     = 'testing';$type     = mysql_real_escape_string($type);$reporter = "John O'Hara";$reporter = mysql_real_escape_string($reporter);$query    = "INSERT INTO contents (type, reporter, description) 
             VALUES('$type', '$reporter', 'whatever')";mysql_query($query) or trigger_error(mysql_error()." in ".$query);// note that when running mysql_query you have to always check for errors

但是，如果要在查詢的另一部分中添加變量，規則就會改變。

要添加一個數字，必須顯式地將其轉換為它的類型。

例如：

$limit = intval($_GET['limit']); //casting to int type!$query = "SELECT * FROM table LIMIT $limit";

要添加標識符，最好從某種類型的白名單中選擇它，由硬編碼的值組成

例如：

if ($_GET['sortorder'] == 'name') {
  $sortorder = 'name';} else {
  $sortorder = 'id';}$query = "SELECT * FROM table ORDER BY $sortorder";

使一切簡單化但在安全保證的情況下，我們必須使用某種占位符系統變量不是直接而是通過某個代理(稱為占位符)進入查詢的。

因此，查詢調用如下所示：

$type     = 'testing';$reporter = "John O'Hara";pquery("INSERT INTO contents (type, reporter, description) VALUES(?s, ?s, ?s)",
        $type, $reporter,'whatever');

因此，我們絕對無須擔心所有這些問題。

對于有限的占位符集，可以使用PDO..雖然對于實際生活中的使用，您將需要擴展集，它是由少數庫提供的，其中之一是SafeMysql.

反對回復 2019-06-26

鴻蒙傳說

TA貢獻1865條經驗獲得超7個贊

$type中的文本將直接替換到INSERT字符串中，因此MySQL獲得以下內容：

... VALUES(testing, 'john', 'whatever')

注意，在測試中沒有引號，您需要如下所示：

$type = 'testing';mysql_query("INSERT INTO contents (type, reporter, description) VALUES('$type', 'john', 'whatever')");

我還建議你讀一讀SQL注入，因為如果不清理所使用的數據，這種類型的參數傳遞很容易引發黑客攻擊：

MySQL-SQL注入預防

反對回復 2019-06-26

3 回答
0 關注
1042 瀏覽

關注

添加回答

舉報

0/150

提交

取消

亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

熱搜

最近搜索清空

如何在MySQL INSERT語句中包含PHP變量

如何在MySQL INSERT語句中包含PHP變量

3 回答

添加回答