无效的查询：您的SQL语法有误

Question

<?php
mysql_connect("mysql6.000webhost.com","a6124751_murali1","***");
$db= mysql_select_db("a6124751_signup");
$topic=$_GET["Topic"];
$question=$_GET["Question"];
$company =$_GET["Company"];
$query = "INSERT INTO questions (topic, question, company) VALUES ($topic, $question, $company)";
$sql1=mysql_query($query);
if (!$sql1) {
 die('Invalid query: ' . mysql_error());
}
?>

这是我在服务器中的php代码，其中有一个名为“ questions”的表，我正尝试使用前端表单从GET方法获得的输入中将数据插入其中，我可以弄清楚数据是否正确地来自我已经使用echo检查的客户端。 我收到一个错误

您的SQL语法有误； 检查与您的MySQL服务器版本相对应的手册，以在第1行的“名称，在此处输入您的问题，公司）附近使用正确的语法

不知道查询中有什么错误。 任何人都尽快发现它。 谢谢

Answer 1

您需要引用您的价值观

('$topic', '$question', '$company')

因为这些是字符串。

另外，出于某些原因，您应该转义数据。 不要让MySQL抱怨某些字符，例如连字符等，并防止SQL注入。

使用准备好的语句：

• https://en.wikipedia.org/wiki/Prepared_statement

参考文献：

• https://zh.wikipedia.org/wiki/SQL_injection
• 如何防止PHP中进行SQL注入？
• http://php.net/manual/zh/function.mysql-real-escape-string.php

---

编辑：

例如，使用您当前的MySQL API：

$topic    = mysql_real_escape_string($_GET['topic']);
$question = mysql_real_escape_string($_GET['question']);
$company  = mysql_real_escape_string($_GET['company']);

我不知道您的输入被称为什么，所以这只是一个例子。

您提到使用$_GET进行调试，但使用POST方法。

• 将所有$_GET更改$_GET上面的$_POST 。

Answer 2

尝试这个

<?php
$db = mysqli_connect('mysql6.000webhost.com', 'a6124751_murali1', 'default@123', 'a6124751_signup');

if (!$db) {
    die('Connect Error (' . mysqli_connect_errno() . ') '
            . mysqli_connect_error());
}

$topic = $_GET["Topic"];
$question = $_GET["Question"];
$company = $_GET["Company"];

$query = "INSERT INTO questions (topic, question, company) VALUES ('$topic', '$question', '$company')";
$sql1=mysqli_query($db, $query);
if(!$sql1)
{
    die('Invalid query: ' . mysqli_error($db));
}
?>

修正您的代码

• mysql扩展名已弃用，以后将被删除：改用mysqli或PDO

• 您需要引用您的值('$topic', '$question', '$company')

Answer 3

如果是char类型，则必须将值放在单个qoutes中：

$query = "INSERT INTO questions (topic, question, company) VALUES ('$topic', '$question', '$company')";

但是，您不应再使用已弃用的mysql_* API。 将mysqli_*或PDO与已准备好的语句一起使用。