將SQL代碼插入到PHP/MySQL中的數據庫中

Question

我正在嘗試編寫sql以將SQL代碼插入到表中的一列中。 該表具有以下三列：電子郵件，驗證碼，sql。

我試試這個代碼，它的變體，與報價和backslashing玩弄/逃避它們，等等......可是，我的還是錯的：

INSERT INTO pre_registration(email, verification_code, sql) VALUES('myemail@gmail.com', '8efb100a295c0c690931222ff4467bb8', '"INSERT INTO customer(title) VALUES(\'Mr.\')"') 

它告訴我的SQL有錯誤語法：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'sql) VALUES('myemail@gmail.com', '89f0fd5c927d466d6ec9a21b9ac34ffa', "INSER' at line 1 

如何做到這一點？我正在使用PHP/MySQL。

Answer 1

一些洞察到確切的SQL錯誤將有所幫助。乍一看，我會說你需要在表名和開括號之間以及值和開括號之間應用空格。

此外，SQL部分的雙引號周圍的單引號可能會創建錯誤，儘管我不確定。無論是單引號之間的字面解釋應該使轉義字符實際上在存儲的數據內部是斜線。

此外，sql是一個保留字，必須引用才能使用。

最後，根據您的情況有可能是使用準備和綁定參數數據輸入的更安全的方法：

try 
{ 
    $conn = new PDO ("sqlsrv:server = $serverstringname; Database = $logindatabase", "$loginusername", "$loginpassword"); 
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 
} 

catch (PDOException $e) 
{ 
    print("Error connecting to SQL Server."); 
    die(print_r($e)); 
} 

$email = 'myemail@gmail.com' //or some other way of setting the variable like $_POST 
$verification_code = '#####' //or $_Post method 
$sql = 'Put Query Here' //probably have to declare this explicitly 

$sql_insert = "INSERT INTO pre_registration_info (email, verification_code, 'sql') VALUES (?,?,?)"; 
     $stmt = $conn->prepare($sql_insert); 
     $stmt->bindValue(1, $email); 
     $stmt->bindValue(2, $verification_code); 
     $stmt->bindValue(3, $sql); 
     $stmt->execute(); 

Answer 2

MySQL認爲sql作爲關鍵字。你必須引用它：

INSERT INTO pre_registration(email, verification_code, `sql`) VALUES('myemail@gmail.com', '8efb100a295c0c690931222ff4467bb8', '"INSERT INTO customer(title) VALUES(\'Mr.\')"') 

順便說一句，雙引號來逃避他們，而不是使用bakslashes。這對SQL更友好。

INSERT INTO pre_registration(email, verification_code, `sql`) VALUES('myemail@gmail.com', '8efb100a295c0c690931222ff4467bb8', '"INSERT INTO customer(title) VALUES(''Mr.'')"')