本问题已经有最佳答案,请猛点这里访问。
我得到这个错误:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's','portal','','offering','MSNBC','News','','sports','','MSN','Money','','games'' at line 3
唯一的问题是,插入包含撇号的数据时会出现此错误。我尝试将数据类型从VARCHAR更改为TEXT,但结果仍然相同。
我试着把addslashes()放在
如何解决这个问题?
编辑:
$query=" INSERT INTO alltags
(id,tag1,tag2,tag3,tag4,tag5,tag6,tag7,tag8,tag9,tag10,tag11,tag12,tag13,tag14,tag15,tag16,tag17,tag18,tag19,tag20,tag21,tag22,tag23,tag24,tag25,tag26,tag27,tag28,tag29,tag30)
VALUES
('',mysql_real_escape_string($uniqkey[0]),mysql_real_escape_string($uniqkey[1]),mysql_real_escape_string($uniqkey[2]),mysql_real_escape_string($uniqkey[3]),mysql_real_escape_string($uniqkey[4]),mysql_real_escape_string($uniqkey[5]),mysql_real_escape_string($uniqkey[6]),mysql_real_escape_string($uniqkey[7]),mysql_real_escape_string($uniqkey[8]),mysql_real_escape_string($uniqkey[9]),mysql_real_escape_string($uniqkey[10]),mysql_real_escape_string($uniqkey[11]),mysql_real_escape_string($uniqkey[12]),mysql_real_escape_string($uniqkey[13]),mysql_real_escape_string($uniqkey[14]),mysql_real_escape_string($uniqkey[15]),mysql_real_escape_string($uniqkey[16]),mysql_real_escape_string($uniqkey[17]),mysql_real_escape_string($uniqkey[18]),mysql_real_escape_string($uniqkey[19]),mysql_real_escape_string($uniqkey[20]),mysql_real_escape_string($uniqkey[21]),mysql_real_escape_string($uniqkey[22]),mysql_real_escape_string($uniqkey[23]),mysql_real_escape_string($uniqkey[24]),mysql_real_escape_string($uniqkey[25]),mysql_real_escape_string($uniqkey[26]),mysql_real_escape_string($uniqkey[27]),mysql_real_escape_string($uniqkey[28]),mysql_real_escape_string($uniqkey[29]))";
mysql_query($query) or die(mysql_error());
我把它改成了mysql_real_escape_string。这个语法正确吗?我出错了。
ID是一个自动增量,所以我把它留空了
使用PDO…它可以同时解决两个问题。PHPNET/PDO
包含MySQL可能解释的字符的数据编码过程称为"转义"。必须使用mysql_real_escape_string转义字符串,它是一个php函数,而不是mysql函数,这意味着在将查询传递到数据库之前,必须在php中运行它。必须从外部源中转义进入程序的任何数据。任何未转义的数据都可能是SQL注入。
在构建查询之前,必须先转义数据。此外,您还可以使用php的循环结构和range以编程方式构建查询:
// Build tag fields
$tags = 'tag' . implode(', tag', range(1,30));
// Escape each value in the uniqkey array
$values = array_map('mysql_real_escape_string', $uniqkey);
// implode values with quotes and commas
$values ="'" . implode("', '", $values) ."'";
$query ="INSERT INTO alltags (id, $tags) VALUES ('', $values)";
mysql_query($query) or die(mysql_error());
从概念上讲,这很有意义。我仍在尝试将您的代码合并到我的代码中。谢谢你的意见
@Karthik重要的是,在您将数据传递给mysql_query之前,您认识到mysql_real_escape_string是在PHP中运行的。我不知道OMG小马是怎么搞错的…
使用mysql_real_escape_string是处理SQL插入/更新字符的一种更安全的方法:
另外,我将把您的列从文本改回varchar-搜索,除了索引之外,工作得更好。更新您的更新
由于id是一个自动递增列,您可以:
下面是一个使用空值作为ID占位符的示例:
我想强调的是,您不应该这样设置列。
我编辑了我的问题。我的语法有什么问题吗?
@小马:这个密码真的是错的。我会调查谁给了你四张赞成票,也会杀了他们。不能将PHP函数调用混合到SQL字符串中。你必须跳出"字符串"并调用.mysql_real_escape()。每个变量单独使用。
你现在一定很晚了,你通常都比那好。
@小马,请把这个修好。在很多层面上都是错误的!
美加的回答略有改进:
编辑:美加更新了他的帖子,所以他的回答现在更好了。
$query = 'INSERT INTO alltags (id, ';
// append tag1, tag2, etc.
$query .= 'tag' . implode(', tag', range(1, 30)) .") VALUES ('',";
// escape each value in the uniqkey array
$escaped_tags = array_map('mysql_real_escape_string', $uniqkey);
// implode values with quotes and commas, and add closing bracket
$query .="'" . implode("', '", $escaped_tags) ."')";
// actually query
mysql_query($query) or die(mysql_error());
+1就像你构建标签串的方式一样;现在很晚了,我很累。
请看我的回答。这是正确的代码。
如果要使用错误引导的mysql_query()函数,则必须按如下方式分解SQL字符串:
或者,由于您有一个数组,请使用巧妙的方法调用立即全部转义:
$uniqkey = array_map("mysql_real_escape_string", $uniqkey);
mysql_query("USE THE ESCAPED ARRAY THEN DIRECTLY ('$uniqkey[0]', '$uniqkey[1]', '$uniqkey[2]', '$uniqkey[3]', ...");