[英]Php mysqli and stored-procedure
我有一個存儲過程:
Create procedure news(in dt datetime,in title varchar(10),in desc varchar(200))
Begin
Insert into news values (dt,title,desc);
End
現在我的PHP:
$db = new mysqli("","","","");
$dt = $_POST['date'];
$ttl = $_POST['title'];
$desc = $_POST['descrip'];
$sql = $db->query("CALL news('$dt','$ttl','$desc')");
if($sql)
{
echo "data sent";
}else{
echo "data not sent";
}
我是php的新手,請幫助謝謝
我的PHP不起作用,我一直收到“未發送數據”消息。 我做錯了什么嗎?
首先想到的可能不是唯一的問題:
$db = new mysqli("","","","");
應該是這樣的
$db = new mysqli("localhost","username","pa$$w0rd","database_name");
或如果您的ini設置正確(請參見ini_get()
默認值) ,
$db = new mysqli();
編輯 :順便說一句,您可能真的很想使用參數化查詢(或者通常只是轉義您的輸入),您的“ CALL”查詢將用戶輸入直接寫入查詢中,因此您很容易受到SQL注入的攻擊。 試想一下,如果有人輸入“ Description'); DELETE FROM news WHERE (title LIKE '%
會發生什么Description'); DELETE FROM news WHERE (title LIKE '%
Description'); DELETE FROM news WHERE (title LIKE '%
到$_POST['descrip']
:
$sql = $db->query("CALL news('...','...','Description'); DELETE FROM news WHERE (title LIKE '%')");
不太好。
我想你在哪里
$sql = $db->query("CALL news('$dt','$ttl','$desc')");
你需要
$sql = $db->query("CALL news('".$dt."','".$ttl."','".$desc."')");
第一次失敗,因為您要發送字符串'$ dt'作為日期時間(與此同時,將'$ tt1'和'$ desc'作為字段值)。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.