我正在创建一个非常简单的php论坛系统,以与我的门户系统集成(我试图集成一些现有的论坛系统,但我发现有很多我不想要的功能,所以我决定创建自己的论坛系统)。下面的页面只是从板创建页面开始的,但当我点击提交时,我只得到以下错误:您的SQL语法有错误;查看与MySQL服务器版本对应的手册,了解在第1行的"desc="测试特殊字符áéóçãñ"附近使用的正确语法
<?php
function renderForm($nome, $desc, $error)
{
$nome = htmlspecialchars($_POST['nome']);
$desc = htmlspecialchars($_POST['desc']);
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<title>New Record</title>
</head>
<body>
<?php
if ($error != '')
{
echo '<div style="padding:4px; border:1px solid red; color:red;">'.$error.'</div>';
}
?>
<form action="" method="post">
<div>
<strong>Nome: *</strong> <input type="text" name="nome" /><br/>
<strong>Desc: *</strong> <input type="text" name="desc" /><br/>
<p>* required</p>
<input type="submit" name="submit" value="Submit">
</div>
</form>
</body>
</html>
<?php
}
include("../../config.php");
if (isset($_POST['submit']))
{
$nome = htmlspecialchars($_POST['nome']);
$desc = htmlspecialchars($_POST['desc']);
if ($nome == '' || $desc== '')
{
$error = 'ERROR: Please fill in all required fields!';
renderForm($nome, $desc, $error);
}
else
{
mysql_query("INSERT forum_boards SET nome='$nome', desc='$desc'")
or die(mysql_error());
}
}
else
{
renderForm('','','');
}
?>
这可能是什么?
插入语法不正确。正确的形式是:
INSERT INTO forum_boards (`nome`, `desc`) VALUES ('$nome', '$desc')
此外,您还需要转义输入以防止SQL注入:
$nome = mysql_real_escape_string(htmlspecialchars($_POST['nome']));
$desc = mysql_real_escape_string(htmlspecialchars($_POST['desc']));
还有人会抱怨mysql_*函数贬值了。我觉得自己像个编译器!
Insert的工作原理如下:
插入forum_boards(column_name1,column_name2,column_name 3)VALUES($value1,$value2,$value3);等
还要注意您的代码易受SQL注入的攻击http://en.wikipedia.org/wiki/SQL_injection
还要注意,mysql_*函数已被正式弃用!
试着用单引号代替双引号
单引号的执行速度大于双引号。
尝试将查询保存在变量中,它更可读
$query='INSERT INTO forum_boards (nome,desc) VALUES("'.$nome.'","'.$desc.'")';
//试着使用mysqli,它非常先进,并且总是使用准备好的语句
mysqli_query($query);