錯誤與SQL在PHP

2016-09-21 33 views 0 likes

嗨所以我有兩個文本輸入的形式，當用戶填寫它的數據插入到這樣一個數據庫..錯誤與SQL在PHP

$sql = "INSERT INTO $user (note_name, note_body, creation_date) 
     VALUES ('$name','$note','$date')";

但是我有一個問題當輸入撇號作爲文本輸入的一部分時，我得到「SQL語法錯誤」..我相信它將撇號作爲SQL查詢的一部分，對吧？所以說，如果我爲$ note變量輸入「Bob's Computer」，那麼「Bob's」中的撇號將關閉變量周圍的撇號？

有什麼辦法可以解決這個問題嗎？

來源

2016-09-21 Dfarrelly

['mysqli_real_escape_string'（http://php.net/manual/en/mysqli.real-escape-string.php） –

@PraveenKumar這不是真正的好建議。準備好的陳述將是一個更好的選擇 – Phil

@我知道，但我不知道PS。 '：（' –

回答

您可能需要清理數據，然後再將其作爲查詢。即使輸入是惡意的，衛生處理也會避免這些問題。你需要在變量使用mysqli_real_escape_string這樣：

$name = mysqli_real_escape_string($conn, $name); 
$note = mysqli_real_escape_string($conn, $note); 
$date = mysqli_real_escape_string($conn, $date); 
$sql = "INSERT INTO `user` (`note_name`, `note_body`, `creation_date`) VALUES ('$name','$note','$date')";

而且，這是一件好事，把你的SQL查詢類似上面的方式，反引號包圍。我也覺得表是user而不是$user有問題？

注：Prepared statements真的比使用此功能更好。由於我不確定使用情況，因此我不會將其添加到我的答案中。

來源

2016-09-21 23:05:25

謝謝Praveen :)我也會閱讀準備好的陳述以及..也是$用戶的目的，當用戶登錄在我將他們的用戶名保存爲$ user的情況下，表名與用戶名相同:) – Dfarrelly

相關問題

11. 413錯誤與PHP
12. PHP-Mysql錯誤與％
13. T_VAR錯誤與PHP
14. PHP的錯誤，錯誤SQL語法中
15. DynamoDB與PHP，與update_item錯誤
16. PHP ibase_fetch_assoc（）：動態SQL錯誤SQL錯誤代碼= -303長SQL
17. SQL錯誤在PHP返回的查詢與聯接
18. 語法錯誤Sql/PHP
19. PHP - 插入SQL錯誤
20. 錯誤的SQL語法PHP
21. 錯誤插入SQL表PHP
22. PHP的SQL Server mssql_select_db錯誤
23. PHP SQL更新錯誤
24. SQL錯誤＃1064 - PHP代碼
25. 錯誤的SQL查詢php
26. SQL語法錯誤，PHP
27. PHP SQL登錄錯誤
28. PHP MVC SQL語法錯誤
29. SQL（PHP MySQLi）語法錯誤
30. PHP SQL查詢錯誤