PHP MySQLi和存儲過程

Question

我有一個存儲過程：

Create procedure news(in dt datetime,in title varchar(10),in desc varchar(200))

Begin
Insert into news values (dt,title,desc);
End

現在我的PHP：

$db = new mysqli("","","","");

$dt = $_POST['date'];
$ttl = $_POST['title'];
$desc = $_POST['descrip'];
$sql = $db->query("CALL news('$dt','$ttl','$desc')");
if($sql)
{
echo "data sent";

}else{
echo "data not sent";

}

我是php的新手，請幫助謝謝

我的PHP不起作用，我一直收到“未發送數據”消息。 我做錯了什么嗎？

Answer 1

首先想到的可能不是唯一的問題：

$db = new mysqli("","","","");

應該是這樣的

$db = new mysqli("localhost","username","pa$$w0rd","database_name");

或如果您的ini設置正確（請參見ini_get()默認值） ，

$db = new mysqli();

編輯 ：順便說一句，您可能真的很想使用參數化查詢（或者通常只是轉義您的輸入），您的“ CALL”查詢將用戶輸入直接寫入查詢中，因此您很容易受到SQL注入的攻擊。 試想一下，如果有人輸入“ Description'); DELETE FROM news WHERE (title LIKE '%會發生什么Description'); DELETE FROM news WHERE (title LIKE '% Description'); DELETE FROM news WHERE (title LIKE '%到$_POST['descrip'] ：

$sql = $db->query("CALL news('...','...','Description'); DELETE FROM news WHERE (title LIKE '%')");

不太好。

Answer 2

我想你在哪里

$sql = $db->query("CALL news('$dt','$ttl','$desc')");

你需要

$sql = $db->query("CALL news('".$dt."','".$ttl."','".$desc."')");

第一次失敗，因為您要發送字符串'$ dt'作為日期時間（與此同時，將'$ tt1'和'$ desc'作為字段值）。