我的代码中可能有一些注入错误,但我不知道这是在哪里发生的。
$name = 'Toshiba LED TV 32" 32W2333D HD Ready';
$query = "UPDATE `tv`
SET `title` = '" . $this->mysqli->real_escape_string($name). "'
WHERE `id` = '" . $id . "'";
$prep = $this->mysqli->prepare($query);
$prep->execute();
取而代之的是进入字段标题:
东芝LED电视32英寸32W2333D高清
我得到:
东芝LED电视32"
您尝试过使用绑定参数吗?类似:
$query = $mysqli->prepare("UPDATE tv SET title = ? WHERE id = ?");
$statement = $mysqli->prepare($query);
$results = $statement->bind_param($product_title, $find_id);