$query = '
PREPARE statement FROM
"INSERT INTO games_new
(
gamedate,
hometeam,
visitors,
result,
matchreport,
battedfirst,
fieldedfirst,
battedfirstruns,
battedfirstextras,
battedfirsttotal,
battedsecond,
fieldedsecond,
battedsecondruns,
battedsecondextras,
battedsecondtotal
)
VALUES
(
?,?,?,?,?,?,?,?,?,?,?,?,?,?,?
)
"';
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
$query =
'SET @gamedate = $_POST["gamedate"],' .
'@hometeam = $_POST["hometeam"],' .
'@visitors = $_POST["visitors"],' .
'@result = $_POST["result"],' .
'@matchreport = $_POST["matchreport"],' .
'@battedfirst = $_POST["battedfirst"],' .
'@fieldedfirst = $_POST["fieldedfirst"],' .
'@battedfirstruns = $_POST["battedfirstruns"],' .
'@battedfirstextras = $_POST["battedfirstextras"],' .
'@battedfirsttotal = $_POST["battedfirsttotal"],' .
'@battedsecond = $_POST["battedsecond"],' .
'@fieldedsecond = $_POST["fieldedsecond"],' .
'@battedsecondruns = $_POST["battedsecondruns"],' .
'@battedsecondextras = $_POST["battedsecondextras"],' .
'@battedsecondtotal = $_POST["battedsecondtotal"]'
;
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
$query = '
EXECUTE statement USING
@gamedate,
@hometeam,
@visitors,
@result,
@matchreport,
@battedfirst,
@fieldedfirst,
@battedfirstruns,
@battedfirstextras,
@battedfirsttotal,
@battedsecond,
@fieldedsecond,
@battedsecondruns,
@battedsecondextras,
@battedsecondtotal
';
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
$query = 'DEALLOCATE PREPARE statement';
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
我得到這個語法錯誤:PHP佔位符
數據庫訪問失敗:您的SQL語法錯誤;檢查 手冊,對應於您的MySQL服務器版本的右邊 語法使用附近'[「gamedate」],@ hometeam = $ _POST [「hometeam」],@ visitors = $ _POST [「visitor」],@結果'
任何想法?謝謝。
你仍然很容易受到sql注入的影響,因爲你是首先在您的'SET'查詢中填入_POST數據。您完全不正確地使用佔位符,絕對沒有任何安全性。 –
有什麼想法?是。您只需複製並製作一些東西,而無需查看手冊。 – mario