警告：mysql_real_escape_string（）：拒絕用戶'@'localhost'的訪問（使用密碼：NO）

Question

當使用下面的代碼而沒有mysql_real_escape_string時，可以正常工作。我只是想抓住一個可能有教徒的文本字符串。從一個輸入表單格式化並放入mysql表格中。

<?php 
    $filenamee = $_FILES["file"]["name"]; 
    $filename =strval($filenamee); 
    echo "file name is".$filename; 

    $con=mysqli_connect("localhost","blasbott_admin","lubu1973","blasbott_upload"); 
    // Check connection 
    if (mysqli_connect_errno()) 
     { 
    echo "Failed to connect to MySQL: " . mysqli_connect_error(); 
    } 
$companyName = mysql_real_escape_string($_POST['companyName']); 
// $companyName = mysql_real_escape_string($companyNamee); 
//$companyName = mysql_real_escape_string($companyNamee); 

$sql="INSERT INTO ads (companyName, webSite, picture) 
VALUES ('$companyName','$_POST[webSite]','$filename')"; 

if (!mysqli_query($con,$sql)) 
    { 
    die('Error: ' . mysqli_error($con)); 
    } 
    echo"<br>"; 
echo "1 record added"; 

mysqli_close($con); 
?> 

Answer 1

您面臨着MySQL注入的風險。不要在沒有某種投影的情況下直接將數據插入數據庫。這是一個重大的安全風險。另外使用mysqli_real_escape_string，並注意你的$ _POST [web站點]是不受保護的。

此外，您的錯誤意味着您的數據庫詳細信息不正確。

Answer 2

不，你不應該混用mysql和mysqli。

在這裏使用的，而不是mysql_real_escape_string($var)：

$con->real_escape_string($var); 

Answer 3

嘗試mysqli_real_escape_string代替。

Answer 4

您必須首先使用警告之前，數據庫連接：mysql_real_escape_string（）

Answer 5

那就是一個解決這個問題一個工作代碼示例，請訪問：

http://www.w3schools.com/php/func_mysqli_real_escape_string.asp