Phpmyadmin MySQL 语法 [关闭]

Question

如果像这样的值：'s-Gravenhage 将提交到我的数据库中

然后表单没有提交，我看到一个错误：

错误：您的 SQL 语法有错误；检查与您的 MySQL 服务器版本相对应的手册，以了解在 's-Gravenhage',, '', '', '', '', '0', '0', '0', '' 附近使用的正确语法, '', '', '', '19.05.'在第 2 行

没有 : - 和 ' 的其他值没有问题！

我认为是因为 ' 和 -

如何在 phpmyadmin 中解决这个问题？

所以这是 send.php（用于操作表单）

$link = mysql_connect (DB_HOST, DB_USER, DB_PASSWORD); 

if (!$link) { 
die('Could not connect: ' . mysql_error()); 
} 

$db_selected = mysql_select_db(DB_NAME, $link); 

if (!$db_selected) { 
die('Can\'t use ' . DB_NAME . ': ' . mysql_error()); 
} 



$value = $_POST['firstname']; 
$value2 = $_POST['lastname']; 
$value3 = $_POST['city']; 


$sql = "INSERT INTO orders (firstname, lastname, city)
VALUES ('$value', '$value2', '$value3'')";



if (!mysql_query($sql)) { 
die('Error: ' . mysql_error());

Answer 1

请参阅下面的修订代码。每个输入都需要在用于查询之前进行清理。这也是出于安全原因。在此处阅读更多信息https://www.owasp.org/index.php/SQL_Injection

$link = mysql_connect (DB_HOST, DB_USER, DB_PASSWORD); 

if (!$link) { 
    die('Could not connect: ' . mysql_error()); 
} 

$db_selected = mysql_select_db(DB_NAME, $link); 

if (!$db_selected) { 
    die('Can\'t use ' . DB_NAME . ': ' . mysql_error()); 
} 

$value = mysql_real_escape_string($_POST['firstname']); 
$value2 = mysql_real_escape_string($_POST['lastname']); 
$value3 = mysql_real_escape_string($_POST['city']); 

$sql = "INSERT INTO orders (firstname, lastname, city) VALUES ('$value', '$value2', '$value3')";

if (!mysql_query($sql)) { 
    die('Error: ' . mysql_error());
}