所以我正在做一些用PHP创建在线表单的自学。
在我的第一页上,我有以下内容:
<!doctype html>
<html>
<head>
<title> Hi </title>
</head>
<body>
<form method="POST" action="Page2.php">
Username: <input type="text" name="username" >
Password: <input type="text" name="password" >
<input type="submit" name="submit" value="submit">
</body>
</html>
在我的第二页(Page2.php):
<?php
if($_POST["submit"] == "submit")
{
$username=$_POST["username"];
$password=$_POST["password"];
$db = mysql_connect("localhost","root","root");
if(!$db) die("Error connecting to MySQL database.");
mysql_select_db("testdatabase" ,$db);
$sql="INSERT INTO testdatabase_table ('username', 'password') VALUES (". PrepSQL($username) . "," . PrepSQL($password) . ")";
$query=mysql_query($sql);
echo $query;
if(!$query)
{
echo "Failed".mysql_error();
}
exit();
}
function PrepSQL($value)
{
// Stripslashes
if(get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// Quote
$value = "'" . mysql_real_escape_string($value) . "'";
return($value);
}
?>
这是我得到的错误: 失败您的SQL语法有错误;查看与您的MySQL服务器版本相对应的手册,以便在''username','password'附近使用正确的语法。)第1行的VALUES('','')
非常感谢任何快速建议,谢谢。
答案 0 :(得分:1)
使用反引号转义列名和表名,而不是引号
INSERT INTO testdatabase_table (`username`, `password`) VALUES ...
答案 1 :(得分:0)
忽略列列表中的单引号:
INSERT INTO testdatabase_table (username, password) VALUES ...
答案 2 :(得分:0)
这适用于您的代码。
$userSafe = PrepSQL($username);
$passSafe = PrepSQL($password);
$sql="INSERT INTO testdatabase_table ('username', 'password') VALUES ('$username','$password')";
但你应该使用某种类型的crypt / hash,我也测试过。
$username = mysqli_real_escape_string($dbc, filter_var(($_POST['username']), FILTER_SANITIZE_STRING));
$password = mysqli_real_escape_string($dbc, filter_var(($_POST['password']), FILTER_SANITIZE_STRING));
$passhash = hash('sha512', $password);
$sql="INSERT INTO testdatabase_table ('username', 'password') VALUES ('$username','$password')";