無法將字符插入到數組的mysql列中

Question

我有以下代碼以捕獲前一頁中的數據。它的工作正常，數據傳遞正確，只是問題是具有字符（$ itemName）的唯一變量。 我根本無法插入mysql列。它不是類型設置或字符集。我懷疑它的一些事實，即文本來自數組。有任何想法嗎？

if(isset($_POST["cantidad"]) && count($_POST['cantidad'])>0) { 

    foreach($_POST["cantidad"] as $key => $value) { 
     $cantidad = $value; 
     $value = $_POST["cantidad"][$key]; 
     $idItem = $_POST['hiddenField'][$key]; 
     $itemName = $_POST['hiddenName'][$key]; 
     $query = "INSERT INTO `inventarioStat` SET `fecha` = $timestamp, `idItem` = $idItem, `nombreItem` = $itemName, `cantidad` = $value"; 
     ///// this section is to check do data pass true and they do 
     echo "<br>"; 
     echo "value:" . $value . "<br>"; 
     echo "id:" . $idItem . "<br>"; 
     echo "name:" . $itemName . "<br>"; 

     mysql_query($query); 
    }  

} 

echo "<br>"; 

Answer 1

$query = "INSERT INTO `inventarioStat` SET `fecha` = $timestamp, `idItem` = $idItem, `nombreItem` = $itemName, `cantidad` = $value"; 

此行是不正確的，非常不安全。問題在於你沒有在SQL查詢中引用你的字符串。您需要引用$itemName值。

您還需要轉義這裏的值。此代碼對SQL注入敞開大門。如果你使用它，你可能會被黑客入侵。

試試這個：

foreach($_POST["cantidad"] as $key => $value) { 
    $cantidad = $value; 

    $value = mysql_real_escape_string($_POST["cantidad"][$key]); 
    $idItem = mysql_real_escape_string($_POST['hiddenField'][$key]); 
    $itemName = mysql_real_escape_string($_POST['hiddenName'][$key]); 

    $query = "INSERT INTO `inventarioStat` SET `fecha` = '$timestamp', `idItem` = '$idItem', `nombreItem` = '$itemName', `cantidad` = '$value'"; 

    mysql_query($query); 
} 

此代碼是更好，但並不完美。它更安全，但不是100％安全。

您應該升級到使用PDO或MySQLi並準備好語句（PDO docs或MySQLi docs）。