mysqli_query輸入通過變量

Question

我想使用下面的PHP代碼將信息添加到MySQL表。 （輸入來自HTML5基本Web表單的名稱和文本。）可能是語法問題？

<?php 
include "dbinfo.php"; //contains mysqli_connect information (the $mysqli variable) 
//inputs 
$name = $_GET["name"]; 
$text = $_GET["text"]; 

$sqlqr = 'INSERT INTO `ncool`.`coolbits_table` (`name`, `text`, `date`) VALUES ("$name", "$text", CURRENT_TIMESTAMP);'; //the query. I'm pretty sure that the problem is a syntax one, and is here somewhere. 

mysqli_query($mysqli,$sqlqr); //function where the magic happens. 
?> 

沒有錯誤發生。結果爲空白，並且具有「$ name」和「$ text」的行被添加到MySQL表中。

Answer 1

這是你的代碼應該是什麼樣子（加入SQL注入防護）：

<?php 
include "dbinfo.php"; //contains mysqli_connect information (the $mysqli variable) 
//inputs 
$name = mysqli_real_escape_string($_GET['name']); 
$text = mysqli_real_escape_string($_GET['text']); 

$sqlqr = "INSERT INTO `ncool`.`coolbits_table` (`name`, `text`, `date`) VALUES ('" . $name . "', '" . $text . "', CURRENT_TIMESTAMP);"; 

mysqli_query($mysqli,$sqlqr); //function where the magic happens. 
?> 

看看我做了什麼。首先，我已經逃過了用戶輸入，您將檢索到$name和$text變量（這對於安全原因來說非常必要），而其他人則建議您最好使用預準備語句。

問題是你沒有用單引號（'）來包圍字符串值，這是SQL語法的一個要求。

我希望這有助於回答你的問題。

Answer 2

$sqlqr = 'INSERT INTO `ncool`.`coolbits_table` (`name`, `text`, `date`) VALUES ("'.$name.'", "'.$text.'", CURRENT_TIMESTAMP)'; 

保持你的變量在引號外。

Answer 3

首先：您應該使用mysqli預準備語句來防止SQL注入攻擊。 如果沒有正確轉義，在查詢中使用用戶輸入並不安全。預防性陳述對防止這種情況很有用。

第二：你應該學會如何進行字符串引用作品PHP，單引號字符串和雙引號字符串不同

我會推薦閱讀PHP documentation約串引用。