Форма PHP не будет публиковать

Question

Форма PHP не будет публиковать

0

Я только что реализовал mysql_real_escape_string(), и теперь мой script не будет записывать в БД. Все было отлично, прежде чем добавить mysql_real_escape_string():

Любые идеи?

$name = mysql_real_escape_string($_POST['name']);
$description = mysql_real_escape_string($_POST['description']);
$custid = mysql_real_escape_string($_SESSION['customerid']);

mysql_send("INSERT INTO list 
              SET id = '',  
                  name = '$name', 
                  description = '$description', 
                  custid = '$custid' ");

user342391 30 авг. 2010, в 18:48

Источник

2

Что такое mysql_send? Есть ли сообщения об ошибках? Как выглядит запрос перед отправкой в mysql (попробуйте вывести его на экран)?
blockhead 30 авг. 2010, в 16:25
0

Подсказка по отладке: поместите оператор SQL в переменную, т. $sql = "INSERT INTO list SET id = '', name = '$name'" т. Д., А затем echo $sql (или die($sql) ). Это может пролить некоторый свет на то, что вызывает проблему. Кроме того, как вы подключаетесь к базе данных, самостоятельно или через какой-то сторонний API? Если последнее, возможно, есть метод, который API рекомендует для экранирования данных.
webbiedave 30 авг. 2010, в 16:26

Теги:

php

mysql

forms

post

5 ответов

1

Это должно быть легко понять, что происходит.

Fist вместо отправки запроса, который вы создаете в базу данных, эхо-сигнал (или запишите его) и посмотрите, что вы действительно отправляете в базу данных.

Если это не делает очевидным, посмотрите, что должен сказать mysql_error().

timdev 30 авг. 2010, в 15:18

0

       mysql_connect("localhost", "username", "password") or die(mysql_error());
       mysql_select_db("database") or die(mysql_error());
       $name = mysql_real_escape_string($_POST['name']);
       $description = mysql_real_escape_string($_POST['description']);   
       $custid = mysql_real_escape_string($_SESSION['customerid']);

       //If you doing Update use this code
       mysql_query("UPDATE list SET id = '', name = '$name', description = '$description' WHERE custid = '$custid' ") or die(mysql_error());
       //OR if you doing Insert use this  code.
       mysql_query("INSERT INTO list(name, description, custid) VALUES('$name', '$description', '$custid')") or die(mysql_error());
       //If custid is Integer type user $custid instead of '$custid'.

Если вы обновляете записи в таблице списка на основе custid, используйте команду UPDATE ИЛИ, если вы вставляете записи в таблицу списка, используйте команду INSERT.

KMK 30 авг. 2010, в 17:25

0

Типичный отказ от понимания того, как использовать определенные функции... Вы используете mysql_real_escape_string для сырых входных данных. Вы когда-нибудь слышали о санкционировании/подтверждении ввода? mysql_real_escape_string не имеет смысла для чисел. Если вы проверили переменную как число, вам не нужно ее избегать.

mysql_send - это псевдоним для mysql_query? Используйте код отладки, добавьте echo mysql_error(); после mysql_send(...).

Lekensteyn 30 авг. 2010, в 14:10

0

mysql_real_escape_string должно иметь соединение с базой данных, переданное как второй аргумент, поскольку оно запрашивает базу данных, какие символы должны быть экранированы.

$connection = mysql_connect(HOST, USERNAME, PASSWORD);
$cleanstring = mysql_real_escape_string("my string", $connection);

KeatsKelleher 30 авг. 2010, в 13:46

0

Нет, если у вас уже есть открытое соединение
blockhead 30 авг. 2010, в 16:24
0

@blockhead, я собирался сказать это. Вы можете быть перепутаны с mysqli_real_escape_string, который нуждается в своем первом аргументе, чтобы быть ссылкой на базу данных.
Lekensteyn 30 авг. 2010, в 16:26
0

В некоторых случаях это сбивает с толку (например, если у вас открыто более одного соединения), я сталкивался с этой проблемой несколько раз. Я всегда передаю соединение, чтобы убедиться, что строка не обрезана / не удалена.
KeatsKelleher 30 авг. 2010, в 16:26
0

Здравствуйте, MySQLi, очень приятно, что вы постоянно носите с собой соединение с базой данных (стиль OO)
Lekensteyn 30 авг. 2010, в 16:30

Показать ещё 2 комментария

Ещё вопросы

Что такое mysql_send? Есть ли сообщения об ошибках? Как выглядит запрос перед отправкой в mysql (попробуйте вывести его на экран)?
Подсказка по отладке: поместите оператор SQL в переменную, т. $sql = "INSERT INTO list SET id = '', name = '$name'" т. Д., А затем echo $sql (или die($sql) ). Это может пролить некоторый свет на то, что вызывает проблему. Кроме того, как вы подключаетесь к базе данных, самостоятельно или через какой-то сторонний API? Если последнее, возможно, есть метод, который API рекомендует для экранирования данных.
Нет, если у вас уже есть открытое соединение
@blockhead, я собирался сказать это. Вы можете быть перепутаны с mysqli_real_escape_string, который нуждается в своем первом аргументе, чтобы быть ссылкой на базу данных.
В некоторых случаях это сбивает с толку (например, если у вас открыто более одного соединения), я сталкивался с этой проблемой несколько раз. Я всегда передаю соединение, чтобы убедиться, что строка не обрезана / не удалена.
Здравствуйте, MySQLi, очень приятно, что вы постоянно носите с собой соединение с базой данных (стиль OO)

Your Common Sense · Accepted Answer · 2010-08-30T14-24-00.000Z

что это за функция mysql_ отправить?
что если изменить его на mysql_query();

OP сказал, что это работает, пока он не начал использовать mysql_real_escape_string. Он не сказал, что он изменил эту строку кода.