古い関数の使用をやめ、代わりに PDO を使用してください。
$stmt = PDO::prepare('UPDATE table SET field = field + :field');
$stmt->execute(array('field' => $_POST["userlogin"]));
PDO に関する情報を読んでください。要するに、データをエスケープし、データベース間で非常に一貫性があり、一般的に簡単です。
mysql_real_escape_string()mysql 接続後に使用し、二重引用符を使用 する
mysql_query("UPDATE table SET field = field + ({$userlogin})");
データベースに接続した直後に mysql_real_scape_string() を使用する必要があります...
コードを次のように変更します。
mysql_connect("uritomyhost","myusername","password");
mysql_select_db('mydatabase');
$userlogin = mysql_real_escape_string($_POST["userlogin"]);
mysql_query("UPDATE table SET field = '$userlogin'");
このようにしてみてください。
$user = mysql_real_escape_string($_POST["userlogin"]);
mysql_connect("uritomyhost","myusername","password");
mysql_select_db('mydatabase');
mysql_query("UPDATE table SET field = value where user='$user'");
クエリに使用し( imysqli_queryに注意)、準備済みステートメントを使用します。準備されたステートメントを使用することは、単純なクエリを使用してクエリ文字列に変数を含めるよりも安全です。さらに、mysql はまもなく非推奨になります。例 :
<?php
$mysqli = new mysqli("localhost", "my_user", "my_password", "world");
/* check connection */
if (mysqli_connect_errno()) {
printf("Connect failed: %s\n", mysqli_connect_error());
exit();
}
$city = "Amersfoort";
/* create a prepared statement */
if ($stmt = $mysqli->prepare("SELECT District FROM City WHERE Name=?")) {
/* bind parameters for markers */
$stmt->bind_param("s", $city);
/* execute query */
$stmt->execute();
/* bind result variables */
$stmt->bind_result($district);
/* fetch value */
$stmt->fetch();
printf("%s is in district %s\n", $city, $district);
/* close statement */
$stmt->close();
}
/* close connection */
$mysqli->close();
?>
これを試して
mysql_query("UPDATE table SET field = field + ('$user')");
でも、
UPDATE句に場所がないため、テーブルのすべてのフィールドを更新している可能性があります
むしろそうじゃないかな
mysql_query("UPDATE table SET field = field WHERE user= '$user'");