PHP语法中明显的错误？

Question

我收到以下错误：错误：您的SQL语法错误； 检查与您的MySQL服务器版本相对应的手册，以在第3行的'.98.229）'附近使用正确的语法

在我的PHP代码上，如下所示：

<?php
$con = mysql_connect("****", "****", "****");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("****", $con);
$ip=$_SERVER['REMOTE_ADDR'];

$sql="INSERT INTO users (fname, lname, email, password, ip)
VALUES
('$_POST[fname]', '$_POST[lname]', '$_POST[email]', '$_POST[password]', $ip)";

if (!mysql_query($sql,$con))
  {
die('Error: ' . mysql_error());
  }
echo "1 record added";

mysql_close($con);
?>

有什么建议吗？ :)

Answer 1

$ip可能应该是'$ip'才能使其成为字符串。

我敢肯定，我不会是最后一个对你说你应该使用带有参数化输入的mysqli或PDO的人 。 允许用户输入成为查询字符串的一部分是一项巨大的安全性。

Answer 2

您应该真正使用PDO并在执行操作之前检查POST。 您完全容易受到SQL注入的攻击。

PDO准备好的语句是否足以防止SQL注入？

Answer 3

模式中的IP列是什么类型的字段？ 我想它需要像您声明中的其他字符串一样被引用。

您熟悉SQL Injection和PDO吗？

您可能还想对如何最好地在数据库中存储IP地址进行一些研究。