我尝试使用以下代码将<form>中的用户提供的值插入到sql表中。在PHPMyAdmin中使用INSERT查询时,插入成功,但在以下php中失败。与数据库的连接成功。
<?php
$servername = "localhost";
$username = "***";
$password = "***";
$db_name = "my_db";
$trip;
$odom;
$gals;
$ppg;
if (isset($_REQUEST['trip'])){
$trip = $_REQUEST['trip'];
$odom = $_REQUEST['odom'];
$gals = $_REQUEST['gals'];
$ppg = $_REQUEST['ppg'];
}
// Create connection
$conn = mysqli_connect($servername, $username, $db_name, $password);
// Check connection
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
echo "Connected successfully ";
在这里,我尝试在查询周围使用双引号来形成字符串;我也省略了引号,无济于事。此外,在VALUES中,我也尝试过单引号和遗漏,但没有成功。变量是双精度值,而不是字符串。
$vals = "INSERT INTO `Log` (`Trip`, `Odometer`, `Gallons_Pumped`,
`Price_Gallon`)
VALUES ('$trip', '$odom', '$gals', '$ppg')";
$retval的返回值为false,但未提供错误。
$retval = mysql_query($vals);
if ($retval) {
echo "New record created successfully";
} else {
echo "Error: " . $vals . "<br>" . $retval->error;
}
mysql_close($conn);
?>
我的语法不正确吗?如果没有,为什么INSERT查询不成功?
答案 0 :(得分:4)
您正在将mysqli_*函数与mysql_*函数混合使用。你不能这样做;他们不是同一个图书馆。
仅使用mysqli_*。请don't use mysql_*; mysql_*函数已过时,deprecated且不安全。请改用MySQLi或PDO。
代码的最后一个块应该是(未经测试的):
$retval = mysqli_query($vals); // changed
if ($retval) {
echo "New record created successfully";
} else {
echo "Error: " . $vals . "<br>" . mysqli_error($conn); // changed
}
mysqli_close($conn); // changed
请注意从$retval->error到mysqli_error($conn)的更改。根据定义,如果您在代码中达到了这一点,那是因为$retval评估为false,因此不是对象。
此外,请注意您对SQL injection持开放态度。您的SQL语句是这样的:
$vals = "INSERT INTO `Log` (`Trip`, `Odometer`, `Gallons_Pumped`, `Price_Gallon`)
VALUES ('$trip', '$odom', '$gals', '$ppg')";
但这些值($trip等)直接来自用户(通过$_REQUEST)。如果您的用户提交包含例如'字符的值,则可能会发生非常糟糕的事情。您应该使用prepared statements,如下所示:
$vals = "INSERT INTO `Log` (`Trip`, `Odometer`, `Gallons_Pumped`, `Price_Gallon`)
VALUES (?, ?, ?, ?)";
if($stmt = mysqli_prepare($conn, $vals)) {
// adjust "sddd" below to match your data types; see http://php.net/manual/en/mysqli-stmt.bind-param.php
mysqli_stmt_bind_param($stmt, "sddd", $trip, $odom, $gals, $ppg);
$retval = mysqli_stmt_execute($stmt);
} else {
echo "Error: " . $vals . "<br>" . mysqli_error($conn);
}
mysqli_close($conn);
答案 1 :(得分:2)
看起来您正在混合两个不兼容的API - 已弃用的mysql功能API和较新的面向对象的mysqli。
最好将您的代码转换为mysqli,它会起作用。
答案 2 :(得分:1)
您的代码中还有另一个问题。您正在混合程序样式和面向对象的样式调用。您在此代码中对有效连接的测试无效:
$conn = mysqli_connect($servername, $username, $db_name, $password);
// Check connection
if ($conn->connect_error) {
在过程样式中,如果连接失败,mysqli_connect将不会返回对象。因此$conn将没有方法/函数connect_error。您只需要测试$conn,然后调用过程样式mysqli_connect_error。
$conn = mysqli_connect($servername, $username, $db_name, $password);
if(!conn){
die("Connection failed: " . mysqli_connect_error);
}
将$conn的初始分配更改为面向对象样式的另一种替代方法(即使用new)