我的页面工作正常,直到我添加了这段代码,我无法弄清楚它有什么问题。
<?
if (isset($_POST['credclick'])){
$amount=$_POST['credits']
mysql_query("UPDATE users SET points = points+".$amount." WHERE id = '".$username."'");
echo"<p>Credits Added</p>";
}
?>
$ username是从页面顶部的会话中定义的。
$username=$_SESSION['username'];
答案 0 :(得分:4)
语法错误可能:
在$amount=$_POST['credits']
的末尾添加一个分号以表示结束语。
将$amount=$_POST['credits']
更改为$amount=$_POST['credits'];
正如其他人所指出的,你很容易受到恶意sql注入,所以为了解决这个问题,a)停止使用mysql_
并使用PDO
或mysqli_
或者至少消毒你的陈述如下:
$amount = htmlentities($_POST['credits'], ENT_QUOTES);
或$amount = mysql_real_escape_string($_POST['credits']);
但最佳做法是切换数据库连接类型。