这里的代码仍然不完整,因为我仍然会问你们有关使用mysql转义字符串的正确格式/语法的问题。我仍然是PHP的初学者,我想学习如何避免SQL注入。以下代码是否正确?
$con = mysql_connect("localhost","root","mypwd");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("Hospital", $con);
$sqlque="INSERT INTO t2 (HOSPNUM, ROOMNUM, ADATE, ADTIME, LASTNAME, FIRSTNAME, MIDNAME, CSTAT, AGE, BDAY, ADDRESS, TELNUM, SEX, STAT, STAT2, STAT3, STAT4, STAT5, STAT6, STAT7, STAT8, NURSE)
VALUES ('$_POST[hnum]', '$_POST[rnum]', '$_POST[adate]', '$_POST[adtime]', '$_POST[lname]', '$_POST[fname]', '$_POST[mname]', '$_POST[cs]', '$_POST[age]', '$_POST[bday]', '$_POST[ad]', '$_POST[telnum]', '$_POST[sex]', '$_POST[stats1]', '$_POST[stats2]', '$_POST[stats3]', '$_POST[stats4]', '$_POST[stats5]', '$_POST[stats6]', '$_POST[stats7]', '$_POST[stats8]', '$_POST[nurse]')";
mysql_real_escape_string($_POST[hnum]),
mysql_real_escape_string($_POST[rnum]);
mysql_real_escape_string($_POST[adate]);
答案 0 :(得分:8)
您需要在之前转义值,然后将它们放入查询中:
$hnum = mysql_real_escape_string($_POST['hnum']);
$query = "INSERT ... VALUES('$hnum')";
如果您有很多值,可以循环使用它们:
$values = $_POST;
foreach ($values as &$value) {
$value = mysql_real_escape_string($value);
}
$query = "INSERT ... VALUES('$values[hnum]')";
答案 1 :(得分:1)
你在将变量插入字符串后对变量运行mysql_real_escape_string!
你想要做
$hnum = mysql_real_escape_string($_POST[hnum]),
$rnum = mysql_real_escape_string($_POST[rnum]);
$adate = mysql_real_escape_string($_POST[adate]);
$sqlque="INSERT INTO t2 (HOSPNUM, ROOMNUM, ADATE, ADTIME, LASTNAME, FIRSTNAME, MIDNAME, CSTAT, AGE, BDAY, ADDRESS, TELNUM, SEX, STAT, STAT2, STAT3, STAT4, STAT5, STAT6, STAT7, STAT8, NURSE)
VALUES ($hnum,$rnum,$adate', //etc.
更好的是,不要根据字符串替换创建SQL查询。我建议使用PDO和预处理语句/参数化查询。准备好的声明负责为您提供输入。 Here's a good link简要介绍了如何使用PDO而不是mysql_ *命令。
答案 2 :(得分:0)
你需要像这样使用这个功能
....VALUES (".mysql_real_escape_string('$_POST[hnum]').",...