私はPHPの初心者ですが、これは正常ではないと思います。
私のコードは常に次の行でブロックされています:
$insert = 'INSERT INTO boleia VALUES ('.$nick.', '.$data_format.', '.$custo.', '.$dest_origem.', '.$dest_destino.', NULL, '.$matricula.');';
二重引用符を使用し、それらの二重引用符内の変数を使用してみましたが、何もありませんでした。
何か案が?
質問する
147 次
6 に答える
4
PHPコードは構文的に正しいですが、値を区切るために引用符を使用していないため、生成されたSQLは正しくありません。
あなたはこれを行うことができます:
$insert = 'INSERT INTO boleia VALUES ("'.$nick.'", "'.$data_format.'", "'.$custo.'", "'.$dest_origem.'", "'.$dest_destino.'", NULL, "'.$matricula.'");';
またはこれ:
$insert = "INSERT INTO boleia VALUES ('".$nick."', '".$data_format."', '".$custo."', '".$dest_origem."', '".$dest_destino."', NULL, '".$matricula."');';
これを行うこともできます:
$insert = "INSERT INTO boleia VALUES ('$nick', '$data_format', '$custo', '$dest_origem', '$dest_destino', NULL, '$matricula');";
ただし、 SQLインジェクションに対して脆弱であるため、その方法は推奨されません。
SQLインジェクションを防ぐ方法は?
たとえば、PostgreSQLを使用しているため、DBに適切な関数を使用して値をエスケープする必要がないようにするには、すべての値にpg_escape_string()を使用する必要があります。
$insert = 'INSERT INTO boleia VALUES ("'.pg_escape_string($nick).'", "'.pg_escape_string($data_format).'", "'.pg_escape_string($custo).'", "'.pg_escape_string($dest_origem).'", "'.pg_escape_string($dest_destino).'", NULL, "'.pg_escape_string($matricula).'");';
もう1つの方法は、pg_prepare()をpg_execute()とともに使用することです。
pg_prepare($dbconn, "my_insert", 'INSERT INTO boleia VALUES ($1, $2, $3, $4, $5, NULL, $6);');
pg_execute($dbconn, "my_insert", array($nick, $data_format, $custo, $dest_origem, $dest_destino, $matricula));
または、pg_query_params()を使用することもできます
pg_query_params($dbconn, 'INSERT INTO boleia VALUES ($1, $2, $3, $4, $5, NULL, $6);',
array($nick, $data_format, $custo, $dest_origem, $dest_destino, $matricula));
于 2012-12-14T13:06:29.707 に答える
0
挿入クエリの各値は、数値またはNULLでない限り、その前後に引用符が必要です。
$insert = "INSERT INTO boleia VALUES ('$nick', '$data_format', '$custo', '$dest_origem', '$dest_destino', NULL, '$matricula');";
PDOを使用する場合は、引用符やエスケープについて心配する必要はありません。
このPDOチュートリアルの例:
$stmt = $db->prepare("INSERT INTO table(field1,field2,field3) VALUES(:field1,:field2,:field3)");
$stmt->execute(array(':field1' => $field1, ':field2' => $field2, ':field3' => $field3));
$affected_rows = $stmt->rowCount();
于 2012-12-14T13:00:56.710 に答える
-1
クエリに入る文字列値をカプセル化する必要があります。
例えば
$insert = 'INSERT INTO boleia VALUES ("'.$nick.'", "'.$data_format.'", "'.$custo.'", etc.
于 2012-12-14T12:58:08.590 に答える
-1
SQL文字列には二重引用符を使用する方がよいでしょう。後で、文字列を引用符で囲んでいない場所でスポーツをするのが簡単になるからです。
$insert = "INSERT INTO boleia VALUES ('$nick', '$data_format', '$custo', '$dest_origem', '$dest_destino', NULL, '$matricula')";
于 2012-12-14T13:01:11.600 に答える
-1
人々、一般的。元の質問は1行だけです!それはまさにこれです:
$insert = 'INSERT INTO boleia VALUES ('.$nick.', '.$data_format.', '.$custo.', '.$dest_origem.', '.$dest_destino.', NULL, '.$matricula.');';
ここで、エスケープされていない文字列を修正する必要はありません。また、タグに表示されているという理由だけで、彼がPostgreSQLを使用していると仮定する必要もありません。彼には単純なエラーがありました-クエリに文字列のカプセル化がありません。これは、最も単純な形式で、次のように修正されています。
$insert = 'INSERT INTO boleia VALUES (\''.$nick.'\', \''.$data_format.'\', \''.$custo.'\', \''.$dest_origem.'\', \''.$dest_destino.'\', NULL, \''.$matricula.'\');';
以上です!これが行われていない場合に文字列をエスケープする方法として、またはそのような場合に人為的エラーが発生しにくいため二重引用符を使用する方がよい場合に限り、追加情報を追加したい場合に限ります。 、または読むのに適したPDOチュートリアルがある場合は、すべて、彼の問題に対する正確な回答の後の追加情報か、おしゃべりなトピックのいずれかです。
乾杯。
于 2012-12-14T17:01:16.717 に答える
-2
$db = new mysqli( some db data );
$nick = $db->real_escape_string( $nick );
$data_format = $db->real_escape_string( $data_format ); // this is probably not needed
$dest_origem = $db->real_escape_string( $dest_origem );
$dest_destino = $db->real_escape_string( $dest_destino );
$matricula = $db->real_escape_string( $matricula );
$insert = "INSERT INTO boleia VALUES ('$nick', '$data_format', '$custo', '$dest_origem', '$dest_destino', NULL, '$matricula')";
そしてあなたは大丈夫なはずです
于 2012-12-14T13:09:12.297 に答える