在1 MySQL查询中使用select语句和php变量插入_Php_Mysql_Sql

在1 MySQL查询中使用select语句和php变量插入

php mysql sql

在1 MySQL查询中使用select语句和php变量插入,php,mysql,sql,Php,Mysql,Sql,我有类似的方法将表单中的数据插入MySQL表。我在insert中使用select语句有效吗？请开导我 if(isset($_POST['date']) && isset($_POST['docName']) && isset($_POST['docSpec']) && isset($_POST['time']) && isset($_POST['symptoms']) ) { $nameOfUser = $_COOKI

我有类似的方法将表单中的数据插入MySQL表。我在insert中使用select语句有效吗？请开导我

if(isset($_POST['date']) && isset($_POST['docName']) && isset($_POST['docSpec']) && isset($_POST['time']) && isset($_POST['symptoms']) )
{   
    $nameOfUser = $_COOKIE['userlogin'];

    $docName = $_POST['docName'];

    $date = $_POST['date'];

    $symptoms = $_POST['symptoms'];

    $time = date('H:i:s',strtotime($_POST['time'])); 

    $id = mt_rand(1000,9999);  //generate random appointment id

    $insertQuery = "insert into appointment values
                ($id,(select doctorid from doctors where doctorName like '$docName' ),
                $date,$symptoms,
                (select patientid from patient where patientFName like '$nameOfUser'), $time)";

    if(mysqli_query($conn,$insertQuery)===true)
    {
        echo "<script>alert('success');</script>";
    }
    else
    {
        die('Invalid query: ' . mysql_error()); 
        $message .= 'Whole query: ' . $query;
        die($message);  
    }
}

它表示无效查询。insert语句中的列已按正确顺序排列。有人能帮我吗？

您必须指定要插入的列-

insert into appointment (col1, col2, col3, ...) values
($id,(select doctorid from doctors where doctorName like '$docName' ), $date,$symptoms,(select patientid from patient where patientFName like '$nameOfUser'),$time)";

看起来你有6列

编辑：此语法可能有助于澄清问题-

$insertQuery = "INSERT INTO `appointment` (`col1`, `col2`, `col3`,`col4`,`col5`,`col6`) ";
$insertQuery .= "VALUES (";
$insertQuery .= "'" . $id . "'";
$insertQuery .= ", '" . "(SELECT `doctorid` FROM `doctors` WHERE `doctorName` LIKE '%" . $docName . "%')" . "'";
$insertQuery .= ", '" . $date . "'";
$insertQuery .= ", '" . $symptoms . "'";
$insertQuery .= ", '" . "(SELECT `patientid` FROM `patient` WHERE `patientName` LIKE '%" . $nameOfUser . "%')" . "'";
$insertQuery .= ", '" . $time . "'";
$insertQuery .= ")";

您还使用了LIKE，但没有给它找到其他元素的机会，因为您没有使用通配符

我必须具体说明吗？我插入值的顺序与创建表时相同。是的，MySQL要求您指定。添加了列规范，但无效。我还尝试在doctorName（如“%$docName%”）处放置百分比符号，但仍然不起作用。您可以在PHP之外运行查询吗？如果没有，错误是什么？nvm我的最后一个答案，我得到它插入。您的查询是开放的SQL注入攻击。看看如何安全地执行查询。我知道。我试图先建立它的功能。请坚持这个问题