[英]SQL Update query using variables
我正在寫php來更新用戶的余額,但是執行UPDATE查詢時似乎拋出了錯誤。
$student = $database->quote($_POST ["studentID"]);
$amount = $database->quote($_POST ["update_balance"]);
//sets query to update user balance
$query = "UPDATE `User` SET `balance`= (`.$amount.`) WHERE `userID`= (`.$student.`)";
//excecutes the query
$database->exec($query);
“ studentID”和“ update_balance”是在HTML中捕獲的輸入字段的名稱。
刪除(`。Things。並運行sql查詢
$query = "UPDATE `User` SET `balance`= '$amount' WHERE `userID`= '$student'";
您應該使用准備好的語句,因為它比任何字符串轉義機制都安全得多:
$statement = $somePdoInstance->prepare("UPDATE user SET balance = :balance WHERE userId = :user_id");
$statement->execute(array(
"balance" => $amount, // the values from POST
"user_id" => $student
));
現在,您的更新查詢應該可以正常工作,並且更加安全。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.