PHP占位符[关闭]

Question

$query = '
PREPARE statement FROM
"INSERT INTO games_new
(
    gamedate,
    hometeam,
    visitors,
    result,
    matchreport,
    battedfirst,
    fieldedfirst,
    battedfirstruns,
    battedfirstextras,
    battedfirsttotal,
    battedsecond,
    fieldedsecond,
    battedsecondruns,
    battedsecondextras,
    battedsecondtotal
)
VALUES
(
    ?,?,?,?,?,?,?,?,?,?,?,?,?,?,?
)
"';
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
$query =
'SET @gamedate = $_POST["gamedate"],' .
'@hometeam = $_POST["hometeam"],' .
'@visitors = $_POST["visitors"],' .
'@result = $_POST["result"],' .
'@matchreport = $_POST["matchreport"],' .
'@battedfirst = $_POST["battedfirst"],' .
'@fieldedfirst = $_POST["fieldedfirst"],' .
'@battedfirstruns = $_POST["battedfirstruns"],' .
'@battedfirstextras = $_POST["battedfirstextras"],' .
'@battedfirsttotal = $_POST["battedfirsttotal"],' .
'@battedsecond = $_POST["battedsecond"],' .
'@fieldedsecond = $_POST["fieldedsecond"],' .
'@battedsecondruns = $_POST["battedsecondruns"],' .
'@battedsecondextras = $_POST["battedsecondextras"],' .
'@battedsecondtotal = $_POST["battedsecondtotal"]'
;
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
$query = '
EXECUTE statement USING
    @gamedate,
    @hometeam,
    @visitors,
    @result,
    @matchreport,
    @battedfirst,
    @fieldedfirst,
    @battedfirstruns,
    @battedfirstextras,
    @battedfirsttotal,
    @battedsecond,
    @fieldedsecond,
    @battedsecondruns,
    @battedsecondextras,
    @battedsecondtotal
';
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}
$query = 'DEALLOCATE PREPARE statement';
$result = mysql_query($query);
if (!$result) {die("Database access failed: " . mysql_error());}

我收到此语法错误：

数据库访问失败：您的 SQL 语法有错误；查看 与您的 MySQL 服务器版本相对应的手册 在 '["gamedate"],@hometeam = 附近使用的语法 $_POST["hometeam"],@visitors = $_POST["visitors"],@resu'

有什么想法吗？谢谢。

Answer 1

首先，了解单（'）和双（"）quoted strings in php的区别。

其次，mysql_ 函数 aren't recommended 将不再使用。使用MySQLi 或PDO。

所以你应该使用：

"SET @gamedate = '{$_POST['gamedate']}'"

而不是使用' 转义。或者更确切地说：

'SET @gamedate = "' . mysql_real_escape_string( $_POST['gamedate'], $conn) . '"'

或者你可以用正确的方式来做（例如使用PDO::prepare）：

$sql = 'SET @gamedate = :gamedate';
$sth = $dbh->prepare($sql); // $dbh is instance of PDO
$sth->execute(array(':gamedate' => '...'));

Answer 2

为此用途：

mysqli_prepare ( $link , $query );

例子：

$mysqli = new mysqli("localhost", "user", "pwd", "db");
$stmt = mysqli_prepare($link, "INSERT INTO games_new
( gamedate, hometeam, visitors, result, matchreport, battedfirst, fieldedfirst, battedfirstruns, battedfirstextras, battedfirsttotal, battedsecond, fieldedsecond, battedsecondruns, battedsecondextras, battedsecondtotal )
VALUES
(?,?,?,?,?,?,?,?,?,?,?,?,?,?,?)");

mysqli_stmt_bind_param($stmt, "ssssssssssssss",
    $_POST["hometeam"],
    $_POST["visitors"],
    $_POST["result"],
    $_POST["matchreport"],
    $_POST["battedfirst"],
    $_POST["fieldedfirst"],
    $_POST["battedfirstruns"],
    $_POST["battedfirstextras"],
    $_POST["battedfirsttotal"],
    $_POST["battedsecond"],
    $_POST["fieldedsecond"],
    $_POST["battedsecondruns"],
    $_POST["battedsecondextras"],
    $_POST["battedsecondtotal"]
);

mysqli_stmt_execute($stmt);
mysqli_stmt_close($stmt);
mysqli_close($link);

Answer 3

$query =
'SET @gamedate = $_POST["gamedate"],' .

因为这是在单引号中，所以 $_POST["gamedate"] 不会被评估。你应该这样做：

$query =
"SET @gamedate = {$_POST['gamedate']}," .

但是，像这样直接使用 $_POST 参数将最终通过 SQL 注入攻击您的网站。

Answer 4

'@battedsecond = $_POST["battedsecond"],'

由于您使用的是简单引号，因此您不能将变量直接放入字符串中。要么使用双引号，要么使用连接。

"@battedsecond = {$_POST["battedsecond"]},"
//OR
'@battedsecond = '.$_POST["battedsecond"].','