我有一个歌曲上传表单,在这里我不会直接在MySQL中输入NULL值,比如:MySQL_query("INSERT INTO songs(album_id)VALUES(NULL)"。我将从PHP变量中插入NULL到MySQL,当然不会受到SQL注入的影响。
我的SQL表是:
CREATE TABLE IF NOT EXISTS `songs` (
`song_id` int(4) NOT NULL,
`song_name` varchar(64) NOT NULL,
`artist_id` int(4) NOT NULL,
`album_id` int(4) DEFAULT NULL,
`genre_id` int(4) DEFAULT NULL
PRIMARY KEY (`song_id`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ;
我的FORM和FORM HANDLER代码(PHP,HTML)如下:
<?php
if(isset($_REQUEST['SongForm']))
{
$song_name = trim($_POST['song_name']);
$artist_id = trim($_POST['artist_id']);
$album_id = $_POST['album_id']; if($album_id == 0) { $album_id = 'NULL'; } // I even tried using NULL instead of 'NULL'
$genre_id = $_POST['genre_id']; if($genre_id == 0) { $genre_id = 'NULL'; }
$query = mysql_query("
INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('".$song_name."', '".$artist_id."', '".$album_id."', '".$genre_id."')
");
}
?>
<form method="post" action="<?php echo $_SERVER['PHP_SELF']?>" name="SongForm" id="SongForm">
<table style="width: 100%">
<tr>
<td><b>Song Name</b></td>
<td><input name="song_name" value="" type="text" required /></td>
</tr>
<tr>
<td><b>Artist Name</b></td>
<td>
<select id="artist_id" name="artist_id">
<option value ="0">No Artist</option>
<option value ="1">Jennifer Lopez</option>
</select>
</td>
</tr>
<tr>
<td><b>Album Name</b></td>
<td>
<select id="album_id" name="album_id">
<option value ="0">No Album</option>
<option value ="1">Rebirth</option>
</select>
</td>
</tr>
<tr>
<td><b>Genre Name</b></td>
<td>
<select id="genre_id" name="genre_id">
<option value ="0">No Genre</option>
<option value ="1">Epic Records</option>
</select>
</td>
</tr>
<tr>
<td><b> </td></b>
<td><input name="SongForm" type="submit" value="Upload Song" /></td>
</tr>
</table>
</form>
但在这之后,我在MySQL中得到了类似的结果:
序列号:1歌名:我,爱艺人ID:1相册ID:1流派ID:1
现在,当我没有为任何歌曲选择"专辑ID"answers"流派ID"时,它应该在MySQL中输入"NULL"。但它正在输入"0"。
因此,结果如下:
序列号:1歌名:我,爱艺人ID:1相册ID:0流派ID:0
请给我一个解决方案,这样我可以在选择"无专辑"answers"无流派"时输入NULL。
请不要让我在解释无关话题时感到困惑。
感谢那些支持解释答案的朋友,尽管任何答案都没有给我合适的解决方案。
在代码中,检查变量是否为空,如果为空,请使用NULL而不是变量。要将NULL传递给MySQL,请尝试
INSERT INTO table (field,field2) VALUES (NULL,3)
我尝试了与您相同的操作-将变量设置为NULL、NULL、'NULL'、"NULL",甚至将NULL作为常量写入SQL字符串中-什么都没有。数据库中的字段始终设置为0。然后我在插入行后尝试更新表,结果成功了。
"UPDATE songs SET album_id = NULL WHERE etc."
如果指定了该列,INSERT语句将插入一个0。您可以修改SQL语句,使其不包含您希望为NULL的列,例如:
$query = mysql_query("
INSERT INTO `songs` (`song_name`,`artist_id`) VALUES ('".$song_name."','".$artist_id."')
");
并且这将使剩余的列为NULL。
http://www.w3schools.com/sql/sql_insert.asp
跳到仅在指定列中插入数据
使用if($album_id == 0) { $album_id = NULL; }而不是if($album_id == 0) { $album_id == "NULL"; }。
"NULL" is a string.
删除$album_id=="NULL"中的引号并将==(检查相等性)更改为=(为变量赋值);
$album_id = trim($_POST['album_id']); if($album_id == 0) { $album_id = NULL; }
$genre_id = trim($_POST['genre_id']); if($genre_id == 0) { $genre_id = NULL; }
$film_id = trim($_POST['film_id']); if($film_id == 0) { $film_id = NULL; }
$category_id = trim($_POST['category_id']); if($category_id == 0) { $category_id = NULL; }
假设$album_id=='NULL'、$genre_id=='NULL'、$artist_id==1和$song_name=='deeper'
此查询(您的查询):
"INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('".$song_name."', '".$artist_id."', '".$album_id."', '".$genre_id."')"
会得到你:
"INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('deeper', '1', 'NULL', 'NULL')"
这不是你想要的。去掉整数和null之间的斜线。此查询:
"INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('$song_name', $artist_id, $album_id, $genre_id)"
会得到你:
"INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('deeper', 1, NULL, NULL)"
这就是你想要的。
为了避免sql注入,做另一个小改动:
// do not use addslashes when your server uses magic_quotes (probably it does not)
$song_name = addslashes(trim($_POST['song_name']));
// if there is number, it will stay unchanged
// otherwise it is changed to 0, which is safe
$artist_id = $_POST['artist_id'] + 0;
$album_id = $_POST['album_id'] + 0; if($album_id == 0) { $album_id = 'NULL'; }
$genre_id = $_POST['genre_id'] + 0; if($genre_id == 0) { $genre_id = 'NULL'; }
当你想确保你的脚本在magic_quotes上正常独立工作时,定义这个函数:
function gpc_addslashes($str) {
return (get_magic_quotes_gpc() ? $str : addslashes($str));
}
并使用它来代替CCD_ 12作为歌曲名称。