我有一个将数据提交到数据库的查询:
$sql = "UPDATE table SET user='$user', name='$name' where id ='$id'";
通过url获取id,例如 localhost/index.php?id=123
$id=$_GET['id']
$sql = "UPDATE table SET user='$user', name='$name' where id ='123'";
它正常工作。
如果我回显ID,它将显示正确的结果,123。
问题在哪里?
以能获取错误信息的方式运行所有查询,这样至少可以得到错误信息及有误查询。
$sql = "UPDATE table SET user='$user', name='$name' where id ='$id'";
$res = mysql_query($sql) or trigger_error(mysql_error()." in ".$sql);
它将告诉你问题出在哪里。
这比在这里提问要方便、精确和更快。
UPDATE table SET user='fred', name='O'Brien' where id='123';
^--unescaped quote
$result = mysql_query($sql);
$result = mysql_query($sql) or die(mysql_error());
如果查询出现问题,您将立即收到反馈。
然后阅读有关SQL注入漏洞的内容 (SQL injection)
$id = $_GET['id']
<form action="#.php" method="POST">
<input type="hidden" name="id" value="<?php echo $id?>">
</form>
然后,在 PHP 代码块内部,
$id = $_POST['id'];
$sql = "UPDATE table SET user='$user', name='$name' where id ='$id'"
应该有TableName……您在查询中没有使用表名。请打印出 $sql 并尝试在 phpmyadmin 中执行。
不谈从GET数组中直接提取数据的问题,我首先建议你正确转义变量。我假设ID是一个整数,所以不需要在它周围加单引号。
$sql = "UPDATE table SET user='".$user."', name='".$name."' where id=".$id;
看看这是否有效。
$x = "x $a x" 在 PHP 中与 $x ='x '. $a . ' x'; 的处理方式完全相同。你所做的只是在一艘正在下沉的船上重新排列甲板椅子。 - Marc B'在"引用的字符串内部,所以它们不是引号,对PHP来说只是一些随机字符。 - Marc B1 = '1'是true(假设strict mode已关闭)。 - Marc B
UPDATE \table` SET `user`='$user', `name`='$name' WHERE `id` = $id` - user254875486