堆棧內存溢出
  簡體   English   中英

MySQL語法:SQL語法有誤

[英]MySQL syntax:You have an error in your SQL syntax

 原文  2010-04-03 13:49:36       php/ mysql/ mysql-error-1064

問題描述

我寫了一個非常簡單的函數: 

function editCategory() {
    $ID         = urlencode($_GET['id']);
    $cname   = mysql_fix_string($_POST['cname']);
    $kabst   = mysql_fix_string($_POST['kabst']);
    $kselect    = $_POST['kselect'];
    $subsl      = $_POST['subsl'];
    $kradio     = $_POST['kradio'];
    $ksubmit    = $_POST['ksubmit'];

    if (isset($ksubmit)) {
        $query = "UPDATE category SET name = '$cname', description = '$kabst', published = '$kselect',  home = '$kradio', subcat = '$subsl'  WHERE id = $ID ";

        $result = mysql_query($query);
        if (mysql_affected_rows () == 1) {
            echo "ok";
        }
        else{
            echo mysql_error();
        }
    }
}

function mysql_fix_string($string)
{
    if (get_magic_quotes_gpc())
        $string = stripslashes(($string));
    return mysql_real_escape_string($string);
}

錯誤:

您的SQL語法有誤; 檢查與您的MySQL服務器版本相對應的手冊,以在第1行的''附近使用正確的語法

怎么了?

4 個解決方案

解決方案1
 6  2010-04-03 13:56:45

$ID         = intval($_GET['id']); //using urlencode here is weird
$cname      =  mysql_real_escape_string($_POST['cname']); 
//and the same for the rest ALL.
$kradio     = mysql_real_escape_string($_POST['kradio']);

也, 

$ksubmit    = $_POST['ksubmit']; 
if (isset($ksubmit)) {

毫無意義。 $ ksubmit將始終設置為 

if (isset($_POST['ksubmit'])) {

為確保您擁有所有變量,請在腳本頂部添加以下行: 

ini_set('display_errors',1);
error_reporting(E_ALL);

解決方案2
 1  2010-04-03 13:59:11

您必須確保:

  • 對於數據庫中字符串(varchar / char)的字段:
    • 您傳遞的值正確地用引號引起來
    • 您傳遞的值的內容必須轉義:如果用戶發布的內容中有引號,則必須轉義-請參見mysql_real_escape_string
  • 對於在DB中為整數的字段:
    • 您必須傳遞整數值
    • 這可以通過在用戶發布的值上調用intval來確保


在這里,您可能應該:

  • $_GET['id']上使用intval()
  • 在其他一些字段上使用mysql_real_escape_string
    • 從查詢來看,其中除id以外的所有字段都用單引號引起來,我想說您必須在所有字段上使用mysql_real_escape_string ,當然,除了id


作為旁注:

  • 您正在使用$_GET作為id
  • $_POST用於其他所有內容。

那是故意的嗎?

解決方案3
 0  2010-04-03 13:58:17

聽起來像一個空變量。

並針對SQL注入進行一些操作,每個人都可以入侵您的數據庫。 幸運的是,您是一個殺死數據庫的人...將mysql_real_escape_string()用於查詢中的所有用戶輸入。

解決方案4
 0 已采納  2010-04-03 15:14:35

這是一個非常簡單的CRU D應用程序的示例,僅用於說明如何傳遞ID: 

<?
mysql_connect();
mysql_select_db("new");
$table="test";
if($_SERVER['REQUEST_METHOD']=='POST') { //form handler part:
  $name = mysql_real_escape_string($_POST['name']);
  if ($id=intval($_POST['id'])) {
    $query="UPDATE $table SET name='$name' WHERE id=$id";
  } else {
    $query="INSERT INTO $table SET name='$name'";
  }
  mysql_query($query) or trigger_error(mysql_error()." in ".$query);
  header("Location: http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);
  exit;
}
if (!isset($_GET['id'])) { //listing part:
  $LIST=array();
  $query="SELECT * FROM $table";
  $res=mysql_query($query);
  while($row=mysql_fetch_assoc($res)) $LIST[]=$row;
  include 'list.php';
} else { // form displaying part:

  if ($id=intval($_GET['id'])) {
    $query="SELECT * FROM $table WHERE id=$id";
    $res=mysql_query($query);
    $row=mysql_fetch_assoc($res);
    foreach ($row as $k => $v) $row[$k]=htmlspecialchars($v);
  } else {
    $row['name']='';
    $row['id']=0;
  }
  include 'form.php';
}
?>

文件form.php: 

<form method="POST">
<input type="text" name="name" value="<?=$row['name']?>"><br>
<input type="hidden" name="id" value="<?=$row['id']?>">
<input type="submit"><br>
<a href="?">Return to the list</a>
</form>

文件list.php: 

<a href="?id=0">Add item</a>
<? foreach ($LIST as $row): ?>
<li><a href="?id=<?=$row['id']?>"><?=$row['name']?></a>
<? endforeach ?>

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 MySQL語法:您的SQL語法有誤... MySQL錯誤-插入時“您的SQL語法有錯誤” PHP mysql 連接錯誤:您的 SQL 語法有錯誤 MySQL查詢出錯:“您的SQL語法出錯; ......” 收到“您的SQL語法有錯誤”錯誤-PHP,MySQL mySQL錯誤:您的SQL語法有錯誤(ENGINE = MyISAM) MySQL錯誤 - “您的SQL語法中有錯誤” MySQL錯誤:&#39;你的SQL語法有錯誤&#39; MySQL說:文檔(#1064)-您的SQL語法有錯誤; 您的SQL語法有誤-PHP MYSQL
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM