如何在MySQL INSERT语句中包含PHP变量
如何在MySQL INSERT语句中包含PHP变量
$type
$type = 'testing';mysql_query("INSERT INTO contents (type, reporter, description) VALUES($type, 'john', 'whatever')");
月关宝盒浏览 1013回答 3
3回答
-
慕婉清6462132
将字符串添加到查询中的规则简单明了:字符串应该用引号括起来。因此,这些引号应该在数据中转义,以及一些其他字符,使用mysql_real_escape_string()所以,您的代码变成$type = 'testing';$type = mysql_real_escape_string($type);$reporter = "John O'Hara";$reporter = mysql_real_escape_string($reporter);$query = "INSERT INTO contents (type, reporter, description) VALUES('$type', '$reporter', 'whatever')";mysql_query($query) or trigger_error(mysql_error()." in ".$query);// note that when running mysql_query you have to always check for errors但是,如果要在查询的另一部分中添加变量,规则就会改变。要添加一个数字,必须显式地将其转换为它的类型。例如:$limit = intval($_GET['limit']); //casting to int type!$query = "SELECT * FROM table LIMIT $limit";要添加标识符,最好从某种类型的白名单中选择它,由硬编码的值组成例如:if ($_GET['sortorder'] == 'name') { $sortorder = 'name';} else { $sortorder = 'id';}$query = "SELECT * FROM table ORDER BY $sortorder";使一切简单化但在安全保证的情况下,我们必须使用某种占位符系统变量不是直接而是通过某个代理(称为占位符)进入查询的。因此,查询调用如下所示:$type = 'testing';$reporter = "John O'Hara";pquery("INSERT INTO contents (type, reporter, description) VALUES(?s, ?s, ?s)", $type, $reporter,'whatever');因此,我们绝对无须担心所有这些问题。对于有限的占位符集,可以使用PDO..虽然对于实际生活中的使用,您将需要扩展集,它是由少数库提供的,其中之一是SafeMysql. -
鸿蒙传说
$type中的文本将直接替换到INSERT字符串中,因此MySQL获得以下内容:... VALUES(testing, 'john', 'whatever')注意,在测试中没有引号,您需要如下所示:$type = 'testing';mysql_query("INSERT INTO contents (type, reporter, description) VALUES('$type', 'john', 'whatever')");我还建议你读一读SQL注入,因为如果不清理所使用的数据,这种类型的参数传递很容易引发黑客攻击:MySQL-SQL注入预防
随时随地看视频慕课网APP
PHP
MySQL