Question

我的页面工作正常，直到我添加了这段代码，我无法弄清楚它有什么问题。

<?
if (isset($_POST['credclick'])){ 
$amount=$_POST['credits']
mysql_query("UPDATE users SET points = points+".$amount." WHERE id = '".$username."'");
echo"<p>Credits Added</p>";
}
?>

$ username是从页面顶部的会话中定义的。

$username=$_SESSION['username'];

Answer 1

语法错误可能：在$amount=$_POST['credits']的末尾添加一个分号以表示结束语。

将$amount=$_POST['credits']更改为$amount=$_POST['credits'];

正如其他人所指出的，你很容易受到恶意sql注入，所以为了解决这个问题，a）停止使用mysql_并使用PDO或mysqli_或者至少消毒你的陈述如下：

$amount = htmlentities($_POST['credits'], ENT_QUOTES);或$amount = mysql_real_escape_string($_POST['credits']);

但最佳做法是切换数据库连接类型。

为什么这段代码会使我的页面空白？

1 个答案: