php mysql-不插入字符串值
下面是我的代码片段php mysql-不插入字符串值,php,mysql,forms,session,Php,Mysql,Forms,Session,下面是我的代码片段 if(isset($_POST['register'])){ include("../includes/config.php"); $otp = $_POST['otp']; $sentotp = $_SESSION['otp']; if(empty($_POST['otp'])){ $error= '<b>OTP cannot be empty.</b>'; } if($ot
if(isset($_POST['register'])){
include("../includes/config.php");
$otp = $_POST['otp'];
$sentotp = $_SESSION['otp'];
if(empty($_POST['otp'])){
$error= '<b>OTP cannot be empty.</b>';
}
if($otp==$sentotp){
$fname=$_SESSION['fname'];
$lname=$_SESSION['lname'];
$email=$_SESSION['email'];
$pwd=$_SESSION['password'];
$phno=$_SESSION['phno'];
$result2=mysqli_query($db,"INSERT INTO `user`(`fname`, `lname`,`password`, `phno`,`email`) VALUES ($fname,$lname,$pwd,$phno,$email);");
unset($_SESSION['fname']);
unset($_SESSION['lname']);
unset($_SESSION['email']);
unset($_SESSION['password']);
unset($_SESSION['phno']);
//header('Location: ../src/index.php');
}
}
在本例中,将执行查询。在有人建议
$\u会话['email']$\u会话['email']电子邮件的长度设置为100,因此电子邮件的长度也应该不是问题。要调试此设置,请回显或vardump发送到MySQL的实际SQL文本
将代码分为两个步骤,首先构建SQL字符串,然后执行SQL字符串。然后在这两个步骤之间添加调试输出:
$sqltxt = "INSERT INTO ... ";
echo "sqltext=" . $sqltext ;
$result2=mysqli_query($db,$sqltext);
然后我们可以将实际的SQL文本带到另一个客户机,并在那里使用它。我们会发现一个问题。。。字符串文本需要用单引号括起来
此外,在检测到错误后,mysqli\u error
函数将检索MySQL错误消息。在这种情况下,如果发生错误,mysqli_查询将返回FALSE。这段代码实际上可以检查mysqli_查询返回的值,并确定语句执行是否成功,而不是将它的小指放在嘴角,邪恶博士式的“我只是认为它会按计划进行。什么?”
最后,代码中的模式似乎容易受到SQL注入的攻击
合并到SQL文本中的值必须正确转义
mysqli\u real\u escape\u string您的代码容易受到相关攻击。甚至
mysqli\u real\u escape\u string $sqltxt = "INSERT INTO ... ";
echo "sqltext=" . $sqltext ;
$result2=mysqli_query($db,$sqltext);