当我提交表单注册一个新用户在我的网站上,它提交,但它不提交到数据库,我得到一个错误说:
下面是我的MySQL查询:无效查询:您的SQL语法有错误;检查手册对应于MySQL服务器版本的正确语法在第2行使用near '####, 800800800)'整个查询:mysql_query
$fname = $_POST['fnamein'];
$lname = $_POST['lnamein'];
$email = $_POST['emailin'];
$phone = $_POST['phonein'];
$password = sha1($_POST['passwordin']);
$query='INSERT INTO directoryi (Fname, Lname, password, email, phone)
VALUES ('.$fname.', '.$lname.', '.$password.', '.$email.', '.$phone.')';
$result = mysql_query($query);
if (!$result) {
$message = 'Invalid query: ' . mysql_error() . "'n";
$message .= 'Whole query: ' . mysql_query;
die($message);
}
echo '<h2>Thank you for registering!</h2>';
mysql_free_result($result);
mysql_close($dbconnect);
?>
和我的HTML表单:
<form action="register.php" method='post'>
<input type="text" class="input-small" style="width: 46%;" name="fnamein" placeholder="First Name">
<input type="text" class="input-small" style="width: 46%;" name="lnamein" placeholder="Last Name">
<input type="text" class="input" style="width: 46%;" name="emailin" placeholder="Email">
<input type="text" class="input" style="width: 46%;" name="phonein" placeholder="ex. 7171234567">
<input type="password" class="input" style="width: 96%;" name="passwordin" placeholder="Password">
<button type="submit" class="btn">Register</button>
</form>
要直接回答你的问题,字符串必须用单引号括起来,
$query="INSERT INTO directoryi (Fname, Lname, password, email, phone)
VALUES ('" .$fname. "', '" .$lname. "', '".$password."', '".$email."', '".$phone."')";
作为旁注,如果变量的值(s)来自外部,则查询容易受到SQL Injection的攻击。请看看下面的文章,了解如何防止它。通过使用PreparedStatements,您可以摆脱使用单引号的值。
- 如何防止SQL注入在PHP?
根据字段的数据类型,我猜测您没有正确地在插入值周围提供单引号。试试这个:
$query="INSERT INTO directoryi (Fname, Lname, password, email, phone)
VALUES ('$fname', '$lname', '$password', '$email', '$phone')";
注意,这里假设所有字段都是字符串类型的字段(如varchar)。
你也有明显的SQL注入漏洞,并且正在使用已弃用的mysql_*函数。我强烈建议你学习如何使用mysqli或PDO预处理语句