我不是新手,但面对一个非常基本的问题,但不知道如何克服它。我有一个评论表,其中的字段是姓名,电子邮件,评论,日期和时间。现在我想要做的是在各自的字段中插入系统日期和时间,但它只输入时间而不是日期。字段日期的类型是日期,时间是时间。 这是我的查询
$insert = 'insert into tbl_comment
(name, email, desc, date, time)
VALUES
("'.$_POST['name'].'","'.$_POST['email'].'","'.$_POST['comment'].'"
,CURDATE(),"CURTIME()",CURTIME())';
mysql_query($insert);
}
请帮助我
答案 0 :(得分:0)
您的代码容易受到SQL注入攻击。 Fix this immediately!
//Function to sanitize values received from the form. Prevents SQL injection
function clean($str) {
$str = @trim($str);
if(get_magic_quotes_gpc()) {
$str = stripslashes($str);
}
return mysql_real_escape_string($str);
}
$myName = clean($_POST['name']);
$myEmail = clean($_POST['email']);
$myDesc = clean($_POST['comment']);
$insert = "insert into tbl_comment
(name, email, desc, `date`, `time`)
VALUES
('$myName','$myEmail','$myDesc',CURDATE(),CURTIME())";
mysql_query($insert);
如果你有数据&时间作为字段名称,使用反引号作为保留关键字。