使用 MySQLi INSERT 查询时遇到问题

Question

好的，所以我将我的网站从 MySQL 更新到 MySQLi，这意味着我必须重新编码一些数据库内容。

我在 php.net 上查看了如何使用 MySQLi 查询将数据插入到表中，并完全按照他们所说的去做，但没有运气。

这是我的连接变量：

$con = mysqli_connect("localhost", "username", "password", "database");

这是插入数据的代码：

mysqli_query($con, "INSERT INTO users ('user', 'pass', 'email') VALUES ('$user', '$pass', '$email')");

它不会回复任何错误，它只会将我带到预期的目标网页。但它实际上并没有将数据添加到表中。

有什么想法吗？

Answer 1

如上所述，从列名中删除引号将解决您的问题：

mysqli_query($con, "INSERT INTO users (user, pass, email) VALUES ('$user', '$pass', '$email')");

但我也注意到您的脚本容易受到 SQL 注入攻击。 在MySQLi你可以在执行前prepare你的语句，这样你就可以确定没有人会在你的数据库中注入SQL命令。

如果你不想在执行前准备好每条sql语句，至少使用mysqli_real_escape_string函数，这也将保护你的系统免受SQL注入。像这样使用：

mysqli_query($con, "INSERT INTO users (user, pass, email) VALUES ('" . mysqli_real_escape_string($user) . "', '" . mysqli_real_escape_string($pass) . "', '" . mysqli_real_escape_string($email) . "')");

Answer 2

从列名中删除单引号

mysqli_query($con, "INSERT INTO users (user, pass, email) VALUES ('$user', '$pass', '$email')");

或

mysqli_query($con, "INSERT INTO users (`user`, `pass`, `email`) VALUES ('$user', '$pass', '$email')");