(UPDATE SET) 您的 SQL 语法有错误

Question

此代码有效，表正在更新，但服务器响应： “您的 SQL 语法有误”。

为了利益而询问。请告诉我哪里出错了

$id = $_POST['id'];
$name = $_POST['name'];
$image = $_POST['image'];
$price = $_POST['price'];

mysql_connect("localhost","main","password");
mysql_select_db("main");

$result = mysql_query("SELECT * FROM goods WHERE id='".$id."'");
if(mysql_num_rows($result) > 0) {
    $newquery = mysql_query("UPDATE goods SET name='".$name."', image='".$image."', price='".$price."' WHERE id='".$id."'");
    if(!mysql_query($newquery)) {
        die('Invalid query: ' . mysql_error());
    } else {
        echo "Updated successfully";
        }
    } else {
        echo "Error: there is no such product in DB";
    }

错误：

无效查询：您的 SQL 语法有错误；检查与您的 MySQL 服务器版本相对应的手册，以在第 1 行的“1”附近使用正确的语法

Answer 1

您的插入值是字符串。所以你必须使用 " 或 ' 来包装它：

$sql = "UPDATE users SET fullname = '".$fullname."', bio = '".$bio."', 
birthdate = '".$birthdate."', pass = '".$newpass."',
WHERE username = '".$susername."'";

Answer 2

'name' 是 MySQL keyword。如果您打算将其用作列名，则在对列执行查询时必须使用反引号：

"UPDATE `goods` SET `name`='".$name."', `image`='".$image."', `price`='".$price."' WHERE `id`='".$id."'"

Answer 3

你的 where 条件是错误的。它需要一个整数而不是 ID 字符串。

应该是：

$newquery = mysql_query("UPDATE goods SET name='".$name."', image='".$image."', price='".$price."' WHERE id=".$id);

但是你应该注意两件事。

1. mysql_query 和所有 mysql_ 函数已被替换为 mysqli_

2. 您很容易受到 SQL 注入的攻击。您应该使用 PDO 或任何 ORM/数据库抽象来为您处理查询以防止这种情况发生。