Re: [請益] 無法insert到MySQL中

作者tkdmaf (皮皮快跑)

看板PHP

標題Re: [請益] 無法insert到MySQL中

時間Sat Dec 26 09:42:17 2009

※ 引述《apolkingg8 (NowDays)》之銘言： html吃光光...... <?php $SQLAccessID="******"; $SQLpwd="*******"; $SQLHost="localhost"; $Link=mysql_connect($SQLHost,$SQLAccessID,$SQLpwd); $sql = "INSERT INTO `wpd`.`user_table` (UserName,UserNumber,UserAccount,UserPassword, UserRegistDate,UserMail) VALUES ('".$_POST["name"]."', '".$_POST["num"]."', '".$_POST["account"]."', '".$_POST["password"]."', '2009-12-26', '".$_POST["mail"]."')"; mysql_query($sql,$Link); ?> 善於思考單引號、雙引號的用法，一切都會變成較為簡單及美好。另外的建議，就是把連結sql的部份另外寫一個php檔呼叫進來使用。可以省下很多的問題。不過如果你是先把$_POST["XXXX"]轉成$XXXXX的話「".」和「."」就可以省略...... 超簡化寫法似乎不能用在陣列。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.104.131.233

推 apolkingg8:感謝 :) 12/26 11:14

推 LPH66:其實可以喔... "{$_POST['XXX']}" 像這樣用 12/26 12:19

推 buganini:然後這樣會有sql injection的洞 12/26 14:09

推 Qiqi:推薦mysqli 12/26 15:34

推 JoeHorn:因為這樣就轉 mysqli，還不如直接用 PDO 12/26 15:55

→ MOONRAKER:怕SQLinj就把所有變數先取出來escape加regex replace過 12/27 16:02

→ MOONRAKER:一遍不要從$_POST取就成了不然引號怎樣還是會有漏洞 12/27 16:03

推 arrack:推foreach 12/28 13:43