$query="SELECT * FROM likes";
$result=mysql_query($query);
$num=mysql_numrows($result);
$liked=htmlspecialchars($liked, ENT_QUOTES);
$liked=$_POST['liked'];
$query = "INSERT INTO likes VALUES ('','$name','$liked')";
谢谢你们, 詹姆斯
答案 0 :(得分:4)
您正在使用紧随其后一行的$_POST['liked']覆盖它。切换两条线。或者,直接将POST var传递给函数:
$liked=htmlspecialchars($_POST['liked'], ENT_QUOTES);
无论如何,您应该使用mysql_real_escape_string()来转义SQL查询参数。仅在您要显示数据时保存HTML转义。