我想批量插入所有POST數據,而不必單獨鍵入每個名稱/字段。最後一行mysql INSERT
正確嗎?我也不需要重新處理mysql_real_escape_string()
INSERT正確嗎?批量插入的foreach語句
if (is_array($_POST['add']))
foreach ($_POST['add'] as $key => $value)
$_POST['add'][$key] = mysql_real_escape_string(stripslashes($value));
mysql_query("UPDATE mem SET m_".$key."='".$value."' WHERE m_id=$id");
.... more code
mysql_query("INSERT INTO meminfo m_".$key." VALUES '".$value."'");
請不要通過連接字符串來構建SQL。 http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php – idstam
@idstam他*有*連接。沒有辦法避免它。這是問題的重點。 –
請記住要逃跑的鑰匙,你永遠不知道攻擊者會走多長。 – Nightwolf