使用INSERT INTO在表單輸入的重複鍵UPDATE

Question

如何使用INSERT INTO On Duplicate Key UPDATE進行表單輸入？我在網上找到的所有例子都有計數器或預定值。

我已經能夠使用標準的UPDATE和SET方法讓我的代碼工作（感謝一些真正有用的成員），但我的表格確實需要使用INSERT INTO On Duplicate Key UPDATE。

'user_id'是所有表中唯一的主鍵，並且除了帳戶表外都是外鍵。

<?php 
session_start(); 
require_once('config.php'); 
require_once('open_db.php');  

$setlist=''; 
foreach ($_POST as $key=>$value) { 
    $setlist.=$key .'=\''.$value.'\','; 
} 

$setlist=substr($setlist, 0, -1); 
$user_id=$_SESSION['SESS_USER_ID']; 
$sql='UPDATE style_test SET '.$setlist.' WHERE user_id='.$user_id; 

if (!mysql_query($sql,$con)) { 
    die('Error: ' . mysql_error()); 
}   
?> 

，我用以前自動插入每個字段的代碼是：

$fieldlist=$vallist=''; 
foreach ($_POST as $key => $value) { 
    $fieldlist.=$key.','; 
    $vallist.='\''.urlencode($value).'\','; 
} 
$fieldlist=substr($fieldlist, 0, -1); 
$vallist=substr($vallist, 0, -1); 

$user_id=$_SESSION['SESS_USER_ID']; 
$fieldlist.=', user_id'; 
$vallist.=','.$user_id; 

$qry='INSERT INTO style_test1 ('.$fieldlist.') VALUES ('.$vallist.')'; 

Answer 1

的語法高亮顯示您在您的問題是：

$sql='UPDATE style_test SET ;.$setlist.' WHERE user_id='.$user_id; 
          ^
          Here 

這需要一個單引號：

$sql='UPDATE style_test SET '.$setlist.' WHERE user_id='.$user_id; 

您還應該注意，mysql_*函數已被棄用，您不應該使用它們。此外，您的原始代碼已廣泛開放給SQL注入。

有關重複鍵更新，您添加到您的SQL查詢，接着要更新所有column = value領域：

$sql='INSERT INTO style_test SET ' . $setlist.' WHERE user_id = ' . $user_id. ' ON DUPLICATE KEY UPDATE ' . $setlist; 

Answer 2

確保你逃避你的表單輸入。現在您可以開始使用SQL注入。至少使用類似mysql_real_escape_string的東西，或者使用is_numeric來確保數字值不是SQL。非常危險的代碼，因爲它正在採取任何用戶類型並暴露您的數據庫。