我有一个存储过程:
Create procedure news(in dt datetime,in title varchar(10),in desc varchar(200))
Begin
Insert into news values (dt,title,desc);
End
现在我的php:
$db = new mysqli("","","","");
$dt = $_POST['date'];
$ttl = $_POST['title'];
$desc = $_POST['descrip'];
$sql = $db->query("CALL news('$dt','$ttl','$desc')");
if($sql)
{
echo "data sent";
}else{
echo "data not sent";
}
我是php的新手请帮忙谢谢
我的php不起作用我继续收到“未发送数据”消息。我做错了吗?
答案 0 :(得分:0)
首先想到的是,可能不是唯一的问题:
$db = new mysqli("","","","");
应该是
$db = new mysqli("localhost","username","pa$$w0rd","database_name");
或者如果你有your ini set up correctly (see ini_get() default values),
$db = new mysqli();
编辑:顺便说一句,您可能真的想要使用参数化查询(或者通常只是逃避您的输入),您的'CALL'查询会将用户输入直接写入查询中,您'很容易受到SQL注入攻击。试想一下如果有人将Description'); DELETE FROM news WHERE (title LIKE '%放入$_POST['descrip']:
$sql = $db->query("CALL news('...','...','Description'); DELETE FROM news WHERE (title LIKE '%')");
不太好。
答案 1 :(得分:0)
我想你在哪里
$sql = $db->query("CALL news('$dt','$ttl','$desc')");
你需要
$sql = $db->query("CALL news('".$dt."','".$ttl."','".$desc."')");
第一个失败是因为你发送一个字符串'$ dt'作为日期时间(并且'$ tt1'和'$ desc'作为字段值,就此而言)。