如何將PHP變量中的NULL值插入MySQL,遠離SQL注入?
[英]How to Insert NULL Value from PHP Variable to MySQL, staying away from SQL Injection?
問題描述
我有一個Song Uploading Form,我不會在MySQL中直接輸入NULL值,如:mysql_query(“INSERT INTO songs ( album_id )VALUES(NULL)”。我將從PHP變量中插入NULL到MySQL,當然可以安全地從SQL注射。
我的SQL表是:
CREATE TABLE IF NOT EXISTS `songs` (
`song_id` int(4) NOT NULL,
`song_name` varchar(64) NOT NULL,
`artist_id` int(4) NOT NULL,
`album_id` int(4) DEFAULT NULL,
`genre_id` int(4) DEFAULT NULL
PRIMARY KEY (`song_id`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ;
我的FORM和FORM HANDLER代碼是(PHP,HTML),如下所示:
<?php
if(isset($_REQUEST['SongForm']))
{
$song_name = trim($_POST['song_name']);
$artist_id = trim($_POST['artist_id']);
$album_id = $_POST['album_id']; if($album_id == 0) { $album_id = 'NULL'; } // I even tried using NULL instead of 'NULL'
$genre_id = $_POST['genre_id']; if($genre_id == 0) { $genre_id = 'NULL'; }
$query = mysql_query("
INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('".$song_name."', '".$artist_id."', '".$album_id."', '".$genre_id."')
");
}
?>
<form method="post" action="<?php echo $_SERVER['PHP_SELF']?>" name="SongForm" id="SongForm">
<table style="width: 100%">
<tr>
<td><b>Song Name</b></td>
<td><input name="song_name" value="" type="text" required /></td>
</tr>
<tr>
<td><b>Artist Name</b></td>
<td>
<select id="artist_id" name="artist_id">
<option value ="0">No Artist</option>
<option value ="1">Jennifer Lopez</option>
</select>
</td>
</tr>
<tr>
<td><b>Album Name</b></td>
<td>
<select id="album_id" name="album_id">
<option value ="0">No Album</option>
<option value ="1">Rebirth</option>
</select>
</td>
</tr>
<tr>
<td><b>Genre Name</b></td>
<td>
<select id="genre_id" name="genre_id">
<option value ="0">No Genre</option>
<option value ="1">Epic Records</option>
</select>
</td>
</tr>
<tr>
<td><b> </td></b>
<td><input name="SongForm" type="submit" value="Upload Song" /></td>
</tr>
</table>
</form>
但在此之后我得到了MySQL中的結果:
序列號:1歌曲名稱:I,Love Artist ID:1專輯ID:1 Genre ID:1
現在,當我沒有為任何歌曲選擇“專輯ID”和“類型ID”時,它應該在MySQL內輸入“NULL”。 但它輸入“0”。
因此結果如下:
序列號:1歌曲名稱:I,Love Artist ID:1 Album ID:0流派ID:0
請給我一個解決方案,以便在選擇“No Album”和“No Genre”時輸入NULL。
請不要讓我困惑解釋不相關的主題。
感謝支持解釋答案的朋友,盡管任何答案都沒有給我正確的解決方案。
4 個解決方案
解決方案1
3 2013-11-22 09:20:57
在您的代碼中,檢查您的變量是否為空,如果它們為空,則使用NULL而不是變量。 要將NULL傳遞給MySQL ,請嘗試
INSERT INTO table (field,field2) VALUES (NULL,3)
解決方案2
2 2014-05-14 00:36:59
我嘗試了同樣的事情 - 將變量設置為NULL,null,'NULL',“NULL”,甚至在SQL字符串中將null寫為常量 - 沒有。 數據庫中的字段始終設置為0.然后我嘗試在插入行后更新表並且工作正常。
"UPDATE songs SET album_id = NULL WHERE etc."
如果完全指定了列,則INSERT語句將插入0。 您可以修改SQL語句,使其不包含您想要為NULL的列,例如:
$query = mysql_query("
INSERT INTO `songs` (`song_name`,`artist_id`) VALUES ('".$song_name."','".$artist_id."')
");
這將使剩余的列保持為NULL。
http://www.w3schools.com/sql/sql_insert.asp
跳到僅在指定列中插入數據
解決方案3
1 2013-11-22 09:23:16
使用if($album_id == 0) { $album_id = NULL; } if($album_id == 0) { $album_id = NULL; } ,而不是if($album_id == 0) { $album_id == "NULL"; } if($album_id == 0) { $album_id == "NULL"; } 。
"NULL" is a string.
刪除引號並在$ album_id ==“NULL”中將==(檢查相等)更改為=(為變量賦值);
$album_id = trim($_POST['album_id']); if($album_id == 0) { $album_id = NULL; }
$genre_id = trim($_POST['genre_id']); if($genre_id == 0) { $genre_id = NULL; }
$film_id = trim($_POST['film_id']); if($film_id == 0) { $film_id = NULL; }
$category_id = trim($_POST['category_id']); if($category_id == 0) { $category_id = NULL; }
解決方案4
0 2013-11-22 11:18:18
編輯對於當前的問題:
讓我們假設$album_id=='NULL' , $genre_id=='NULL' , $artist_id==1和$song_name=='deeper'
這個查詢(你的):
"INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('".$song_name."', '".$artist_id."', '".$album_id."', '".$genre_id."')"
會得到你:
"INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('deeper', '1', 'NULL', 'NULL')"
這不是你想要的。 擺脫整數和整數的斜線。 這個查詢:
"INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('$song_name', $artist_id, $album_id, $genre_id)"
會得到你:
"INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`)
VALUES ('deeper', 1, NULL, NULL)"
這是你想要的。
為了避免sql注入做了一點改變:
// do not use addslashes when your server uses magic_quotes (probably it does not)
$song_name = addslashes(trim($_POST['song_name']));
// if there is number, it will stay unchanged
// otherwise it is changed to 0, which is safe
$artist_id = $_POST['artist_id'] + 0;
$album_id = $_POST['album_id'] + 0; if($album_id == 0) { $album_id = 'NULL'; }
$genre_id = $_POST['genre_id'] + 0; if($genre_id == 0) { $genre_id = 'NULL'; }
如果要確保腳本在magic_quotes上獨立運行,請定義此函數:
function gpc_addslashes($str) {
return (get_magic_quotes_gpc() ? $str : addslashes($str));
}
並使用它而不是addslashes()為歌曲名稱。
如何將 null 值從 php 變量插入到 mysql
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.