MySql mysql_real_escape_string錯誤

Question

<?php
include("../scripts/createconnect.php");

if(isset($_POST['submitted'])) {

    $username = mysql_real_escape_string ($_POST['username']);
    $password = mysql_real_escape_string ($_POST['password']);


    $sqlinsert = "INSERT INTO Testing (User_Id, username, password)
        VALUES (NULL,'$username', '$password');"; 

    if (!mysqli_query($dbcon, $sqlinsert)) {
        die('error inserting into database');
        } // end of nested if statement

        $newrecord ="Congratulations!";

}  
?>

我有一個工作表輸入數據庫。 我正在學習有關MySql注入預防的知識。

我試圖使用mysql_real_escape_string方法開始，但似乎遇到格式錯誤。

我已經確認我的數據庫已連接。 當我將mysql_real_escape_string添加到表單輸入中時，我現在遇到錯誤。

我的遠程文件“ createconnect.php”通過mysqli_connect成功連接。

我按照教程中的詳細說明添加了ysql_real_escape_string，現在無法將數據輸入到我的MYSQL數據庫中。 有人可以告訴我我想念什么嗎？

Answer 1

您不能以這種方式編寫代碼。 如果要使用mysqli與php一起運行查詢，則不能在mysqli中使用mysql函數。 檢查此鏈接： http : //scriptforyou.com/mysql-easily-insert-and-update-records/ 。 這是使用mysqli的最佳教程。

還應避免使用mysql_real_escape_string。 編碼愉快！！

Answer 2

mysqli有一個類似的函數，稱為mysqli_real_escape_string

嘗試

 $link = new mysqli("localhost", "my_user", "my_password", "dbaname");
 $username = mysqli_real_escape_string ($link,$_POST['username']);
 $password = mysqli_real_escape_string ($link,$_POST['password']);