Php 为什么mysql\u real\u escape\u string()不起作用?
我正在尝试使用PHP向数据库中写入一些内容,但是如果我尝试使用mysql\u real\u escape\u string,我没有得到任何错误,但是没有任何内容被保存到数据库中,我不知道为什么=/特别是因为我在另一个PHP文件中也做了同样的操作,并且它工作得非常完美Php 为什么mysql\u real\u escape\u string()不起作用?,php,sql,Php,Sql,我正在尝试使用PHP向数据库中写入一些内容,但是如果我尝试使用mysql\u real\u escape\u string,我没有得到任何错误,但是没有任何内容被保存到数据库中,我不知道为什么=/特别是因为我在另一个PHP文件中也做了同样的操作,并且它工作得非常完美 <?php if(isset($_POST['reporte'])) $falla = $_POST['reporte']; else $falla = ""; if(!isset($falla)
<?php
if(isset($_POST['reporte']))
$falla = $_POST['reporte'];
else
$falla = "";
if(!isset($falla)){
echo '<font color="red">Intentó enviar una forma vacía. Por favor intente de nuevo.</font>';
}else{
$fecha = mysql_real_escape_string(stripslashes($_POST['fecha']));
$usuario = mysql_real_escape_string(stripslashes($_POST['usuario']));
connection...
$sql = "INSERT INTO $tbl_name(usuario, comentario, fecha, estado) VALUES('$usuario','$falla','$fecha', '0')" or die('mysql_error()');
我已经在数据库监视器中检查并打印了它…它返回OK。。。但是,您对$falla进行消毒是什么意思?我认识注入,但我对php本身还是比较陌生的
编辑3
我使用die只是为了测试,但是没有显示错误,如果我使用mysql\u real\u escape\u string,它运行平稳,不会插入任何东西
编辑4
这是我当前的代码:
<?php
if(isset($_POST['reporte']))
$falla = $_POST['reporte'];
else
$falla = "";
if(!isset($falla)){
echo '<font color="red">Intentó enviar una forma vacía. Por favor intente de nuevo.</font>';
}else{
$host="localhost"; // Host name
$username="user"; // Mysql username
$password="pass"; // Mysql password
$db_name="cosa"; // Database name
$tbl_name="reportes"; // Table name
// To protect MySQL injection
$fecha = mysql_real_escape_string(stripslashes($_POST['fecha']));
$usuario = mysql_real_escape_string(stripslashes($_POST['usuario']));
$falla = mysql_real_escape_string(stripslashes($falla));
$db = mysql_connect($host, $username, $password) or die('Cannot Connect '.mysql_error());
mysql_select_db($db_name) or die('Cannot select DB '.mysql_error());
$sql = "INSERT INTO $tbl_name(usuario, comentario, fecha, estado) VALUES('$usuario','$falla','$fecha', '0')" or die('mysql_error()');
mysql_query($sql) or die('Error SQL !'.$sql.'<br>'.mysql_error());
header("location:../../user/usuario.php");
mysql_close();
}
?>
这是完整的一个,并且根据我在这里得到的建议进行了更改…仍然没有将任何内容输入数据库…我认为您可能需要在使用之前打开mysql连接。请参阅文档 编辑 试试这个,但是表上的数据类型是什么?所有的字段都是usuario、comentario、fecha、estado字符串吗?我相信你的insert声明就是这么说的
<?php
if( isset( $_POST[ 'reporte' ] ) ) {
$falla = $_POST[ 'reporte' ];
} else {
$falla = "";
}
if( !isset( $falla ) ) {
echo '<font color="red">Intentó enviar una forma vacía. Por favor intente de nuevo.</font>';
} else {
$host = "localhost"; // Host name
$username = "user"; // Mysql username
$password = "pass"; // Mysql password
$db_name = "cosa"; // Database name
$tbl_name = "reportes"; // Table name
$db = mysql_connect( $host, $username, $password ) or die( 'Cannot connect ' . mysql_errno( ) );
mysql_select_db( $db_name ) or die( 'Cannot select DB ' . mysql_error( ) );
$fecha = mysql_real_escape_string( stripslashes( $_POST[ 'fecha' ] ) );
$usuario = mysql_real_escape_string( stripslashes( $_POST[ 'usuario' ] ) );
$falla = mysql_real_escape_string( stripslashes( $falla ) );
$sql = "INSERT INTO $tbl_name(usuario, comentario, fecha, estado) VALUES('$usuario','$falla','$fecha', '0')" or die( 'mysql_error()' );
mysql_query( $sql ) or die( 'Error SQL !' . $sql . '<br>' . mysql_error( ) );
// You need a URL here, not a relative path
header( "Location:../../user/usuario.php" );
mysql_close( );
}
?>
首先,我假设下面有一个mysql_query$sql:示例的最后一行永远不会消失,因为您只是在那里创建了一个字符串 第二,您是否设置了$tbl_名称 第三,尝试打印$sql,检查它,如果它看起来正确,在数据库监视器或任何您使用的GUI工具中尝试它;查看数据是否确实在数据库中结束尝试插入,然后选择刚刚插入的数据 顺便说一句,你真的应该像清理$fecha和$usuario-mysql\u real\u escape\u stringstripslashes$falla一样清理$falla;或者类似的东西。否则,$\u POST['reporte']和$falla将成为的向量。检查的输出 mysql扩展的一般使用模式是:
mysql_query($sql) or trigger_error(mysql_error());
您不需要在$sql变量末尾进行错误检查:
$sql = "INSERT INTO $tbl_name(usuario, comentario, fecha, estado) VALUES('$usuario','$falla','$fecha', '0')" or die( 'mysql_error()' );
它是一种陈述,因此它不会因为失败而死亡。尝试将其更改为以下内容:
$sql = "INSERT INTO $tbl_name(usuario, comentario, fecha, estado) VALUES('$usuario','$falla','$fecha', '0');"
不确定这是否一定是您的错误的原因,但这并不是必需的
此外,我还运行了您的代码,减去头重定向,正如nickohrn提到的,在使用mysql\u real\u escape\u字符串之前,您需要连接到mysql服务器。代码运行良好,记录在本地被存入数据库
尝试在不使用标头调用的情况下运行代码。请尝试另一种方法。使用PEAR:DB或类似的框架来使用准备好的语句,而不是这种逃避的黑客行为。调用mysql\u real\u escape\u string和stripslashes之类的函数是引入奇怪的bug和SQL注入问题的完美方法,在这些情况下,数据中的斜杠太多或太少。因为它不如MySQLi和PDO的prepare方法。string mysql\u real\u escape\u string$unescaped\u string[,资源$link\u标识符]-即使可以假设链接标识符,但仍然需要存在连接才能工作。这类似于在没有连接的情况下运行mysql\u查询。是的,mysql\u real\u escape\u字符串将数据发送到mysql服务器进行转义…这就是它与mysql\u escape\u字符串的不同之处。您可以编辑原始代码示例以准确显示吗你现在有什么?我所说的清理是指数据库专用的转义字符-就像你在$fecha=mysql\u real\u escape\u stringstripslashes$\u POST['fecha']中所做的那样;
$sql = "INSERT INTO $tbl_name(usuario, comentario, fecha, estado) VALUES('$usuario','$falla','$fecha', '0')" or die( 'mysql_error()' );
$sql = "INSERT INTO $tbl_name(usuario, comentario, fecha, estado) VALUES('$usuario','$falla','$fecha', '0');"