您的 SQL 语法有错误；检查与您的 MariaDB 服务器版本相对应的手册，以在第 1 行附近使用正确的语法答案

【问题标题】：have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near at line 1您的 SQL 语法有错误；检查与您的 MariaDB 服务器版本相对应的手册，以在第 1 行附近使用正确的语法
【发布时间】：2018-06-04 09:55:28
【问题描述】：

<?php 
include('config.php');
if (isset($_POST['btn'])) {
if (isset($_POST['books'])) {
$b1 = implode(',' , $_POST['books']);



$sql = "INSERT INTO books(book_name) VALUES ('$b1)";
 if($conn->query($sql)=== TRUE){

   echo "your data is saved";
}else{
    echo"try again".$conn->error;
}



$conn->close();?>


<form action="index.php" method="post">
    <h3>Select your Books</h3>
    <input type="checkbox" name="books[]" value="book1">Book 1

    <input type="checkbox" name="books[]" value="book2">Book 2

    <input type="checkbox" name="books[]" value="book3">Book 3
    <input type="submit" name="btn">

</form>

我是 PHP 的初学者，我正在尝试使用复选框在 db 中插入数据，但每次都会出现错误 " 您的 SQL 语法有错误；请查看与您的 MariaDB 服务器版本相对应的手册，了解在第 1 行的 ''book1,book2,book3)' 附近使用的正确语法”

【问题讨论】：

缺少单引号。 $sql = "INSERT INTO books(book_name) VALUES ('$b1')";
这应该是答案而不是评论@pr1nc3 :-)
我想我明白了 $sql = "INSERT INTO books(book_name) VALUES ('$b1)";缺少一个“'”（'$b1'）
感谢 Bananaapple
@AtifRaja - 请注意，您将未经处理的用户输入 ($_POST) 直接传递到查询中，从而使您容易受到 SQL 注入攻击。在这里查看如何防止这种情况：stackoverflow.com/questions/60174/…

标签： php html mysqlimport

【解决方案1】：

$sql = "INSERT INTO books(book_name) VALUES ('$b1')";

您缺少单引号，但对于插入查询来说，这仍然是一种不好的做法，因为您对 sql 注入持开放态度。将很快更新我关于优化查询以使其更安全使用的答案。

准备声明更新

$stmt = $conn->prepare("INSERT INTO books(book_name) VALUES (?)");
$stmt->bind_param("s", $b1);

if ($stmt->execute()) { 
 echo "your data is saved";
}else{
    echo"try again".$conn->error;
}

此查询使用 mysqli 准备语句来保护您免受 sql 注入。正如你所说，你真的是 php 的新手，所以最好从一开始就学习正确的方法。在开发中，有很多方法可以做事，但并非所有方法都是正确的，有些方法会让您面临威胁。 Here is a great answer from stackoverflow to have a look as well.

【讨论】：

我们可以在 $b1 = implode('
' , $_POST['books']); 中插入换行符吗？像这样？
是的，implode("\n",$_POST['books']); 但你的也应该可以工作
如果有效，请不要忘记接受答案。
$stmt = $conn->prepare("INSERT INTO books(book_name) VALUES ($b1)"); $stmt->bind_param("s", $b1); $stmt->执行（）； if($conn->query($stmt)=== TRUE){ Fatal error: Uncaught Error: Call to a member function bind_param() on boolean in "how to solve this one?"
更新了我的答案并替换了您之前的 if 语句。如果它仍然不起作用，请检查您是否正确设置了表名、字段名。

【解决方案2】：

换行：-

$sql = "INSERT INTO books(book_name) VALUES ('$b1)";
-------------------------------------------------^
             missing single quote around the value

到：-

$sql = "INSERT INTO books(book_name) VALUES ('$b1')";

【讨论】：

【解决方案3】：

试试这个代码

<?php 
include('config.php');
if (isset($_POST['btn'])) {

$b1 = implode(',' , $_POST['books']);


$sql = mysqli_query($conn,"INSERT INTO books(book_name) VALUES ('$b1')");
 if($sql=== TRUE){

   echo "your data is saved";
}else{
    echo"try again".$conn->error;
}


}
$conn->close();
?>


<form action="index.php" method="post">
    <h3>Select your Books</h3>
    <input type="checkbox" name="books[]" value="book1">Book 1

    <input type="checkbox" name="books[]" value="book2">Book 2

    <input type="checkbox" name="books[]" value="book3">Book 3
    <input type="submit" name="btn">

</form>

【讨论】：