如何使用来自用户的输入在 SQL 中填充我的表？ PHP答案

【问题标题】：How Do I populate my table in SQL with input from the user? PHP如何使用来自用户的输入在 SQL 中填充我的表？ PHP
【发布时间】：2018-09-16 18:28:24
【问题描述】：

刚开始使用 PHP。我有通过表单获取用户输入并将输入输入到 mySQL 表的代码。该代码没有解析错误。但是当用户提交他们的姓名和电子邮件时。它没有进入表格，表格仍然是空的，我似乎无法找出问题所在。这是我的代码：

<div id="main">
<h1>Insert data into database using PDO</h1>
<div id="login">
    <h2>Students Form</h2>
    <hr/>
    <form action="" method="post">
        <label>Student Name :</label>
        <input type="text" name="name" id="Fname" required="required" placeholder="Please Enter Your Name"/><br/><br/>
        <label>Student Email :</label>
        <input type="text" name="email" id="email" required="required" placeholder="Pear@gmsil.com"/><br/><br/>
        <input type="submit" value=" Submit " name="submit"/><br/>
    </form>
</div>
</div>
<?php
//server name
$db_hostname = "lll";
//database name 
$db_database = "lll";
//username
$db_username = "lll";
$db_password = "lll;";
$db_charset = "utf8mb4";
//a string specifying the database type, the hostname and name of the   database
$dsn = "mysql:host=$db_hostname;dbname=$db_database;charset=$db_charset";
          $opt = array(PDO::ATTR_ERRMODE         =>  PDO::ERRMODE_EXCEPTION,
          PDO::ATTR_DEFAULT_FETCH_MODE =>PDO::FETCH_ASSOC,
          PDO::ATTR_EMULATE_PREPARES => false
      );

  try {
   //create connection
$pdo = new PDO($dsn,$db_username,$db_password,$opt);

if (isset($_POST["submit"])) {   

      $pdo->setAttribute(PDO::ATTR_ERRMODE,
          PDO::ERRMODE_EXCEPTION); 
    $sql = "INSERT INTO students (name,email)";
          VALUES ('". $_POST["name"] ."','" . $_POST["email"] . "');
   if ($pdo->query($sql)) {
        echo "<script type= 'text/javascript'>alert('New Student Inserted Successfully');</script>";
     } else {
         echo "<script type= 'text/javascript'>alert('Data not successfully  Inserted.');</script>";
        }
 }
    } catch (PDOException $e) {
          echo $e->getMessage();
    }
?>

【问题讨论】：

你的脚本有SQL Injection Attack的风险看看Little Bobby Tables发生了什么甚至if you are escaping inputs, its not safe!使用prepared parameterized statements。
您有一个明显的语法错误。您应该会在您的页面或完全空白页面上显示该内容。
$sql = "INSERT INTO students (name,email)"; 结束您的语句。
我认为这是一个错字。
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 为什么你在 if (isset($_POST["submit"])){...} 里面有这个？这是另一个错字。

标签： php html mysql pdo

【解决方案1】：

在您编写 SQL 语句的代码行中，您在查询的后半部分之前放置了一个额外的 ";。

改变

$sql = "INSERT INTO students (name,email)";
      VALUES ('". $_POST["name"] ."','" . $_POST["email"] . "');

到

$sql = "INSERT INTO students (name,email) VALUES ('". $_POST["name"] ."','" . $_POST["email"] . "');

这应该可以解决插入失败的问题。

【讨论】：

对当前问题的正确解决方案，或至少其中一个问题。但是，他们应该使用准备好的语句：php.net/manual/en/pdo.prepared-statements.php