使用 POST 和 PHP 的 SQL 插入查询问题

Question

基本上，我有以下 PHP 脚本，我试图将其用于将新记录插入到我的数据库中。

当在 PHP 脚本中硬编码值以插入所有内容时，当我使用 POST 方法时，这些值永远不会写入我的数据库。以下是我的脚本：

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "dbname";

$customer = $_POST['customerName'];
$manufacturer = $_POST['manufacturerName'];
$model = $_POST['model'];
$serial = $_POST['serial'];

// Create connection
$conn = mysqli_connect($servername, $username, $password, $dbname);
// Check connection
if (!$conn) {
    die("Connection failed: " . mysqli_connect_error());
}


$sql = "INSERT INTO Equipment (customer, manufacturer, model, serial)
VALUES ('$customer', '$manufacturer', '$model', '$serial');";

if (mysqli_multi_query($conn, $sql)) {
    echo "New records created successfully";
} else {
    echo "Error: " . $sql . "<br>" . mysqli_error($conn);
}

mysqli_close($conn);
?>

Answer 1

我刚刚测试了这一切。您的 PHP 代码按原样工作。要查看来自帖子的变量，您可以添加：

var_dump( $_POST );

在代码的顶部。这会告诉你进来的东西是正确的。我用来完成这项工作的 HTML 如下：

<html>
<body>
    <form action="post.php" method=POST>
        Customer: <input type="text" name="customerName"><br />
        Manufacturer: <input type="text" name="manufacturerName"><br />
        Model: <input type="text" name="model"><br />
        Serial: <input type="text" name="serial"><br />
        <input type="submit">
    </form>

</body>

请注意，输入的名称与您在 PHP 中所期望的名称完全相同。

此外，您应该在收到变量时对变量进行某种清理，否则，您很容易受到各种 SQL 注入的攻击。

一个简单的方法是使用addslashes()。像这样：

$customer = addslashes( $_POST['customerName'] );
$manufacturer = addslashes( $_POST['manufacturerName'] );
$model = addslashes( $_POST['model'] );
$serial = addslashes( $_POST['serial'] );

这并不能完全拯救你，但总比没有好。无论如何，我使用你的确切 PHP 和我在上面发布的 HTML 让它工作。