插入 MySQL 表 PHP

Question

我在制作一个简单的表单以将数据插入 MySQL 表时遇到了一些麻烦。 我不断收到此 SQL 错误：

“错误：您的 SQL 语法有错误；请检查与您的 MySQL 服务器版本相对应的手册，了解在 'stock ('ItemNumber', 'Stock') VALUES ('#4','3') 附近使用的正确语法')' 在第 1 行"

我的表单HTML是：

    <form action="database.php" method="post">
    Item Number: <input type="text" name="ItemNumber">
    Stock: <input type="text" name="Stock">
    <input type="submit">
    </form>

PHP是：

    <?php
    $con=mysqli_connect("localhost","root","root","inventory");
    if (mysqli_connect_errno($con))
      {
      echo "Failed to connect to MySQL: " . mysqli_connect_error();
      }
     $sql = "INSERT INTO current stock ('ItemNumber', 'Stock')
    VALUES
    ('$_POST[ItemNumber]','$_POST[Stock]'')";
    if (!mysqli_query($con,$sql))
      {
      die('Error: ' . mysqli_error($con));
      }
    echo "1 record added";
    mysqli_close($con);
    ?>

Answer 1

尝试这个

你不应该在 POST 周围使用参数的引号。 你应该在 POST 中使用它们

       $sql = "INSERT INTO `current stock` (ItemNumber, Stock)
           VALUES
         ('".$_POST['ItemNumber']."', '".$_POST['Stock']."' )";

在像这样将变量插入 mysql 之前，您应该对其进行转义

请注意，该示例没有调用mysqli_real_escape_string 。 如果您直接在查询中嵌入字符串，则只需要使用mysqli_real_escape_string ，但我建议您永远不要这样做。 尽可能始终使用参数。

Answer 2

你有一个额外的引号，你需要在你的表名周围打勾，因为它包含一个空格。

INSERT INTO current stock ('ItemNumber', 'Stock')
VALUES
('$_POST[ItemNumber]','$_POST[Stock]'')";

应该：

INSERT INTO `current stock` (`ItemNumber`, `Stock`)
VALUES
('$_POST[ItemNumber]','$_POST[Stock]')";

仅供参考，您也对SQL 注入持开放态度

Answer 3

?php
  $conn=new mysqli("localhost","root","","inventory")
  or die("not connected".mysqli_connect_error());
  if(isset($_POST['submit']{
    $ItemNumber=$_POST['ItemNumber'];
    $Stock=$_POST['Stock'];
    $sql="insert into current stock(ItemNumber,Stock) values('$ItemNumber','$Stock')";
    $query=mysqli_query($conn,$sql);
    if($query){
      echo"1 row inserted";
    }else{
      echo mysqli_error($conn);
    }
  }
?>

Answer 4

请学习使用参数绑定。 您正在创建具有安全漏洞的代码。

以下是如何在 mysqli 中执行您的代码：

$sql = "INSERT INTO current stock (ItemNumber, Stock) VALUES (?, ?)";

if (!($stmt = mysqli_prepare($con, $sql))) {
    die('Error: ' . mysqli_error($con));
}

if (!mysqli_stmt_bind_param($stmt, "ii", $_POST[ItemNumber], $_POST[Stock])) {
    die('Error: ' . mysqli_stmt_error($stmt));
}

if (!mysqli_stmt_execute($stmt)) {
    die('Error: ' . mysqli_stmt_error($stmt));
}

使用绑定参数比与引号内的引号混淆更容易。

Answer 5

<form action="database.php" method="post">
   Item Number: <input type="text" name="ItemNumber">
   Stock: <input type="text" name="Stock">
   <input type="submit" name="submit">
</form>`

插入 MySQL 表 PHP

问题描述

5 个解决方案

解决方案1
7 已采纳 2013-06-16 23:13:48

解决方案2
2 2013-06-16 23:09:40

解决方案3
0 2017-04-07 12:36:08

解决方案4
0 2017-04-08 06:56:02

解决方案5
-2 2017-04-07 12:24:48

插入 MySQL 表 PHP

问题描述

5 个解决方案

解决方案1 7 已采纳 2013-06-16 23:13:48

解决方案2 2 2013-06-16 23:09:40

解决方案3 0 2017-04-07 12:36:08

解决方案4 0 2017-04-08 06:56:02

解决方案5 -2 2017-04-07 12:24:48

解决方案1
7 已采纳 2013-06-16 23:13:48

解决方案2
2 2013-06-16 23:09:40

解决方案3
0 2017-04-07 12:36:08

解决方案4
0 2017-04-08 06:56:02

解决方案5
-2 2017-04-07 12:24:48