無法使用準備聲明將鏈接插入到MySql中

Question

我創建了一個表單，它將數據插入MySQL數據庫。這裏是表單字段，它們是<form>的一部分，但是，我沒有在這裏顯示整個表單，只是創建問題的字段。

<tr> <td>Top 728x90 As</td><td><textarea name='topad'><?=$r['topad']?></textarea></td</tr> 
<tr> <td>Sidebar 250x250 Ad</td><td><textarea name='sidebarad'><?=$r['sidebarad']?></textarea></td></tr> 

這部分代碼處理輸入並將其插入到數據庫中。

if(isset($_POST['submit'])) { 

    $topad = $_POST['topad']; 
    $sidebarad = $_POST['sidebarad']; 

    $update = $connection->prepare("UPDATE site SET topad = '$topad' , sidebarad = '$sidebarad' WHERE id=1"); 
    $update->execute(array()); 
} 

與此代碼的問題是，它不接受/處理涉及<a href="#"> & </a>碼的數據的一部分。這不是關於轉義HTML字符，因爲所有其他HTML標記，如<img>等都顯示爲它，這是我想要的。

因此，無論何時插入標籤，它都會消失，既不會插入數據庫，也不會在按下提交按鈕後顯示在表單中。

更新：當使用雙引號插入鏈接時，它將被接受。如果我使用單引號，則不處理。例如。 <a href="someurl">將被DB接受，而<a href='someurl'>不會。

爲什麼會發生此錯誤？

Answer 1

原因是因爲您使用的是準備好的語句，但這些值沒有參數化。嘗試下面，

$topad = $_POST['topad']; 
$sidebarad = $_POST['sidebarad']; 

$update = $connection->prepare("UPDATE site SET topad = :topad , sidebarad = :sidebarad WHERE id=1"); 
$update->execute(array(':topad' => $topad, ':sidebarad' => $sidebarad)); 

• How can I prevent SQL injection in PHP?