这里我试图从php将textarea中的值插入到mysql数据库中。
<textarea cols="43" rows="5" class="reject-textarea" name="reject_reason"></textarea>
这里$reject_for = $_GET['reject_reason'];
是我从html表单的文本区域得到的值
当我键入This product does'nt suit for our requirement
时,我得到错误,
error:更新记录时出错:SQL语法有错误;查看与MySQL服务器版本对应的手册,以获得在第1行的"nt suit for requirement"附近使用的正确语法
但是当我键入CCD_ 3时,我没有得到任何错误。
我认为This product does'nt suit for our requirement
中的"'
"有问题
我该如何解决这个问题:
<?php
require_once('configuration.php');
$product_id = $_GET['product_id'];
$reject_for = $_GET['reject_reason'];
if (isset($product_id,$reject_for)){
rejectProduct($product_id,$reject_for);
} else {
echo "Are you trying to do something nasty??";
}
function rejectProduct($product_id,$reject_for)
{
$conn = new mysqli(db_host, db_user, db_password, db_name);
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
$sql = "INSERT INTO rejected_products(product_id,reason_to_reject) VALUES ($product_id,'$reject_for')";
$result = $conn->query($sql);
if ($conn->query($sql) === TRUE) {
updateProduct($product_id);
} else {
echo "Error updating record: " . $conn->error;
}
$conn->close();
}
?>
使用类似的mysqli_real_escape_string
$reject_for = mysqli_real_escape_string($_GET['reject_reason']);
或者最好使用prepared statements
。
您可以在插入数据库之前使用mysqli_real_escape_string
转义字符串中用于SQL语句的特殊字符,考虑连接的当前字符集
$reject_for = $conn->real_escape_string($reject_for);
$sql = "INSERT INTO rejected_products(product_id,reason_to_reject) VALUES ($product_id,'$reject_for')";
这是sql注入的示例。当你向数据库提交数据时,你需要对它的提交进行消毒。有很多方法可以做到像
$reject_for = MySQL_real_escape_string($_GET['reject_reason']);
对其进行消毒的一个很好的理由是要有更多的安全性。如果直接添加用户输入,可能会很危险。