從'@'開始的SQL語法錯誤

Question

我有一個mySQL查詢，當我運行一個包含'@'的字符串時卡住了。我試過htmlentities（）和htmlspecialchars（）無濟於事。以下是我正在運行的是什麼：

$name=$_POST['name']; 
$first=$_POST['first']; 
$last=$_POST['last']; 
$bio=htmlentities($_POST['bio']); 
$email=htmlentities($_POST['email']); 
$pass=$_POST['pass']; 
$date=date("m/d/y"); 
$bd=date('m-d-y',strtotime($_POST['month'].$_POST['date'].$_POST['year'])); 
$qer="insert into everything (user,first,last,bio,email,pass,date,bd) values ($name,$first,$last,$bio,$email,$pass,$date,$bd)"; 
if(!(mysql_query($qer,$con))){ 
    echo "no qer"; 
    echo mysql_error(); 
} 

以下是錯誤：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '@re5yhgr5tyhrtyhr5tyr5tyhrt,test@first.com,pass,12/13/12,01-01-70)' at line 1

我是第一次嘗試，它只是在我的電子郵件參數，但現在我知道它有麻煩，無論它在哪裏。 >：|

我假設「1號線」是SQL的第一行是因爲我的實際線路1「」 ......提前

很抱歉，如果這是顯而易見的，謝謝！

Answer 1

當插入數據類型爲string的值時，應該用括起來的。 （同樣日期，時間，日期時間等，只要它不是數字）

$qer="insert into everything (user, first, last, bio, email, pass, date, bd) 
     values ('$name', '$first', '$last', ...)"; 

，但上面的查詢與SQL Injection脆弱的，請閱讀下面的文章，以瞭解如何從SQL Injection

防止

• How can I prevent SQL injection in PHP?

Answer 2

你應該換你的字符串中插入SQL參數數量，像"test@first.com"

Answer 3

嘗試：在類型爲varchar，char或date的字段中添加撇號（'）。

...values ('$name','$first','$last','$bio','$email','$pass','$date','$bd')...