Fatal编程技术网
  • php/
  • Php 尝试将值插入数据库时出错

Php 尝试将值插入数据库时出错

php mysql

Php 尝试将值插入数据库时出错,php,mysql,mysqli,Php,Mysql,Mysqli,我正在练习PHP,现在,我正在研究使用MySQLi向数据库插入值,但我得到了一个错误:您的SQL语法中有一个错误;检查与MySQL服务器版本相对应的手册,以了解第1行的“”附近使用的正确语法,我不知道我做错了什么!。这是我的密码: header('Content-Type: text/html; charset=utf-8'); ini_set("display_errors", 1); function getUserIP() { // Get real visitor IP beh

我正在练习PHP,现在,我正在研究使用MySQLi向数据库插入值,但我得到了一个错误:
您的SQL语法中有一个错误;检查与MySQL服务器版本相对应的手册,以了解第1行的“”附近使用的正确语法,我不知道我做错了什么!。这是我的密码:


header('Content-Type: text/html; charset=utf-8');
ini_set("display_errors", 1);

function getUserIP()
{
    // Get real visitor IP behind CloudFlare network
    if (isset($_SERVER["HTTP_CF_CONNECTING_IP"])) {
              $_SERVER['REMOTE_ADDR'] = $_SERVER["HTTP_CF_CONNECTING_IP"];
              $_SERVER['HTTP_CLIENT_IP'] = $_SERVER["HTTP_CF_CONNECTING_IP"];
    }
    $client  = @$_SERVER['HTTP_CLIENT_IP'];
    $forward = @$_SERVER['HTTP_X_FORWARDED_FOR'];
    $remote  = $_SERVER['REMOTE_ADDR'];

    if(filter_var($client, FILTER_VALIDATE_IP))
    {
        $ip = $client;
    }
    elseif(filter_var($forward, FILTER_VALIDATE_IP))
    {
        $ip = $forward;
    }
    else
    {
        $ip = $remote;
    }

    return $ip;
}

if(isset($_GET['lat']) && !empty($_GET['lat']))
{
    $lat = $_GET['lat'];
} else {
    die();
}

if(isset($_GET['lon']) && !empty($_GET['lon']))
{
    $lon = $_GET['lon'];
} else {
    die();
}

$ip = getUserIP();
require('database.php');

$query = mysqli_query($mysqli, "SELECT * FROM `tracking` WHERE ip='".$ip."'");
if (!$query)
{
    die('Error: ' . mysqli_error($mysqli));
}
if(mysqli_num_rows($query) > 0){
    mysqli_query($mysqli,"UPDATE `tracking` SET lat='".$lat."', lon='".$lon."' WHERE ip='".$ip."'") or die(mysqli_error($mysqli)); echo "x1";
}
if(mysqli_num_rows($query) == 0){
    mysqli_query($mysqli,"INSERT INTO `tracking` (id, ip, lat, lon) VALUES (NULL, '".$ip."', '".$lat."', '".$lon."'") or die(mysqli_error($mysqli));
}
mysqli_close($mysqli);


给出错误的行是:


mysqli_查询($mysqli,“插入到跟踪
(id,ip,lat,lon)值(NULL,“$ip.”,“$lat.”,“$lon.”)或die(mysqli_错误($mysqli));


我希望您理解我在这里要说的话。您能帮助我吗?谢谢!
您的代码对SQL注入非常开放。因此,除了安全漏洞之外,您也不能完全控制正在执行的SQL代码。您正在构建的SQL代码字符串的运行时值是多少?即,实际值是多少您正在执行的SQL查询?似乎有语法错误。(很可能结尾缺少右括号。)@Dice:OP已经在使用
mysqli
,它完全能够准备语句和查询参数。不需要完全改变这里使用的技术。@Dice:@Karlna:你肯定应该在这方面更改代码,是的。我上面链接的问题包含了大量信息和有用的示例。在互联网的其他地方也不乏这样的代码。SQL可注入代码带来了两个主要问题:(1)它容易受到恶意用户的攻击,(2)它很容易出现错误。更正它将在将来为您节省很多问题。您还应该学习如何在重复密钥更新时使用
,而不是单独执行
选择
更新
插入
查询。