以下是一个PHP脚本,它应该从HTML表单中获取数据并将其插入到数据库中。当它运行时,它给出:
"您的SQL语法出错了;查看与您的MySQL服务器版本相对应的手册,以获得正确的语法,以便在附近使用“VALUES”('','',''''' ;,'''')'在第1行"
我有什么东西在这里失踪吗? BTW我已经知道我需要修复mySQL注入。
<?php
$connection = @mysql_connect('localhost', 'user', 'pass');
@mysql_select_db('database');
$type = ($_POST['studentorfaculty']);
$name = ($_POST['name']);
$location = ($_POST['location']);
$option = ($_POST['option']);
//INSERT
$query = "INSERT into orderdb (id, ordertype, name, location, option) VALUES ('', '$type','$name','$location','$option')";
$result = @mysql_query($query);
if( $result )
{
echo 'Success';
}
else
{
echo 'Query Failed';
echo mysql_errno($connection) . ": " . mysql_error($connection) . "\n";
}
?>