PHP查询字符串中的变量不起作用

Question

当我使用PHP中的变量构建查询字符串时，它似乎不起作用。 我当前的查询是：

$u = "admin";
$hash = password_hash("password", PASSWORD_DEFAULT);
$set_login = "INSERT INTO users (username, password) VALUES ({$u}, {$hash})";

*我正在脚本中进一步执行查询

如果我用它表示的字符串文字替换{$u} ，而仅用密码的字符串文字替换{$hash} ，例如password ，则查询工作正常。 但是，当我引入变量时，它就会中断。 我尝试分解查询字符串并使用串联运算符：

$set_login = "INSERT INTO users (username, password) VALUES ( " . $u . ", " . $hash . ")";

这也不起作用。 然后我以为可能是哈希值，所以我将代码修改为（用于测试）：

$u = "admin";
$p = "password";
$set_login = "INSERT INTO users (username, password) VALUES ({$u}, {$p})";

这也不起作用。

Answer 1

最好的解决方案是使用准备好的语句 ，这很简单。

这是您将如何使用准备好的语句来执行的操作

mysqli

<?php
$u = "admin";
$hash = password_hash("password", PASSWORD_DEFAULT);
$set_login = "INSERT INTO users (username, password) VALUES (?,?)";
$query = $ConnectionString->prepare($set_login);
$query->bind_param("ss",$u,$hash);

if($query){
    echo "success";
}else{

    error_log("error".$ConnectionString->error);
}

?>

PDO

<?php
$u    = "admin";
$hash = password_hash("password", PASSWORD_DEFAULT);

$query = $ConnectionString->prepare("INSERT INTO users (username, password) VALUES (?,?)")->execute(array($u,$hash));

if ($query) {
    echo "success";
} else {

    error_log("error" . $ConnectionString->errorInfo());
}

?>

一些有用的资源。

PDO连接 PDO教程 Mysqli准备

注意：AS Jay在其评论中指出，请确保您数据库中的密码字段大小至少为60个字符

在您的查询中的问题是，您没有包装引号周围的字符串

您的查询应为：

$set_login = "INSERT INTO admin (uname, upass) VALUES ('{$u}', '{$hash}')";

但这不是建议的最佳执行方式，您应该使用上述方法之一使用预准备语句。

这就是您应该这样做的原因： 鲍比桌

Answer 2

INSERT INTO users (username, password) VALUES ('{$u}', '{$hash}')

别忘了用引号将字符串引起来

但是正如评论中提到的那样，直接放置数据，使用准备好的语句是个坏主意