我已经有一段时间没有做php了,但我真的不知道我缺少了什么。我试图将FORM中的一些数据插入到MYSQL中,但仍然失败。这是FORM:的文件
<html>
<head>
<link type="text/css" rel="stylesheet" href="stylesheet.css"/>
<title>registrace</title>
</head>
<body>
<H1> The Best Page! </H1>
<p>
"Please registrate"
<form action="zpracovani.php" method="post">
Name <input type="text" size="20" name="Name" value=""><br>
Surname <input type="text" size="30" name="Surname" value=""><br>
Username <input type="text" size="30" name="username" value=""><br>
Password <input type="text" size="10" name="password" value=""><br>
Retype password <input type="text" size="10" name="password2" value=""><br>
<input type="image" name="button" value="submit" class="button" src="button.jpg">
</form>
</p>
</body>
</html>
正如你所看到的,我正在发送数据以继续进入文件"zpracovani.php"。我测试了我是否连接到mysql服务器(它通过了),还检查了我是否已连接到正确的数据库(也通过了,没有问题)。
<html>
<?php
echo "Wait please";
$con=mysql_connect ('localhost','root','');
if (!$con)
{
die ( 'Could not connect: ' . mysql_error());
}
mysql_select_db ('registrace') or die("cannot select DB");
echo @mysql_ping() ? 'true' : 'false';
$sql="INSERT INTO 'registrace'(Name, surname, username, password).
VALUES('$_POST[Name]','$_POST[Surname]','$_POST[username]','$_POST[password]')";
$result=mysql_query($sql);
if($result){
echo("<br>Input data is succeed");
}else{
echo("<br>Input data is fail");`
}
mysql_close($con);
?>
</html>
下面是我制作的mysql表的概述。
ID int(11)
Name varchar(20) latin1_swedish_ci
Surname varchar(30) latin1_swedish_ci
username varchar(30) latin1_swedish_ci
password varchar(10) latin1_swedish_ci
然而,我连接到了数据库,并且要更正表,它仍然无法将任何人插入数据库。有人能调查一下并帮我吗?
提前感谢!
删除'registrace'
中的引号或在INSERT INTO 'registrace'
中使用反引号
示例:
INSERT INTO `registrace`
使用回溯标记更好。
同时删除中的点
$sql="INSERT INTO 'registrace'(Name, surname, username, password).
它应该读作:
$sql="INSERT INTO `registrace` (Name, surname, username, password)
重新格式化:
$sql="INSERT INTO `registrace` (Name, surname, username, password)
VALUES
('{$_POST['Name']}','{$_POST['Surname']}','{$_POST['username']}','{$_POST['password']}')";
或者遵循这个惯例:
$unsafe_variable = $_POST["user-input"]
$safe_variable = mysql_real_escape_string($unsafe_variable);
mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");
注意:我还注意到您的DB和表使用了相同的名称。
确保事实确实如此。
您的数据库:
mysql_select_db ('registrace')
你的桌子呢?
INSERT INTO `registrace`
另外,最好增加VARCHAR
的值,并考虑使用MySQLi_
和准备好的语句或PDO。MySQL_
函数已弃用。
请阅读以下文章:
- 如何防止PHP中的SQL注入
- 在owasp.org上
首先:使用mysqli
第二步:去掉mysql-ping
第三:更改:
"......'$_POST[xxx]'......"
进入:
"......'{$_POST['xxx']}'....."
谢谢大家,它现在开始工作了。
顺便说一句,mysql ping只是一个检查,看看我是否像我在原始帖子中所写的那样连接良好:)
不管怎样,这对很有帮助