Ошибка объявления переменной $ sql

Question

Ошибка объявления переменной $ sql

0

Я не могу понять, почему xampp дает мне ошибку

Ошибка анализа: синтаксическая ошибка, неожиданный '' (T_ENCAPSED_AND_WHITESPACE), ожидающий идентификатор (T_STRING) или переменная (T_VARIABLE) или номер (T_NUM_STRING) в C:\xampp\htdocs\Permanent\edstul.php в строке 31

Строка 31 такова:

if($_POST){

//update the record if the form was submitted
  $sql="UPDATE users SET pass='$_POST['pass']',fname='$_POST['fname']',lname='$_POST['lname']',mi='$_POST['mi']',age='$_POST['age']',course='$_POST['course']',yearlevel='$_POST['yearlevel']'
    WHERE id=" . mysql_real_escape_string($_POST['id']);

  if(mysql_query($sql)){
    //this will be displayed when the query was successful
    echo "<div>Record was edited.</div>";
  }else{
    die("SQL: " . $sql . " >> ERROR: " . mysql_error());
  }
}

Я не могу понять это. Мне очень нравится объявлять sql-синтаксис, потому что у него нет отладки.

Scape Goat 19 фев. 2015, в 15:27

Источник

1

Не используйте устаревший mysql_* API. use mysqli_ * `или pdo. А также используйте подготовленное заявление. Это безопаснее и намного удобочитаемее.
Jens 19 фев. 2015, в 14:00
0

Избавьтесь от одинарных кавычек в ваших переменных $ _POST. $_POST['pass'] => $_POST[pass]
John Conde 19 фев. 2015, в 14:00
0

Еще лучше; предварительно определите ваши переменные, очистите ваши входные данные; используйте подготовленное заявление.
Funk Forty Niner 19 фев. 2015, в 14:01
0

что такое pdo @Jens
Scape Goat 19 фев. 2015, в 14:01
0

@ScapeGoat PHP Data Objects
Jens 19 фев. 2015, в 14:02
0

Если вы собираетесь использовать mysql_real_escape_string для одного, сделайте это для всех.
Funk Forty Niner 19 фев. 2015, в 14:03
0

@ Fred-ii- Если вы собираетесь использовать mysql_real_escape_string для одного, не делайте этого вообще.
Loko 19 фев. 2015, в 14:04
0

@Loko Подготовленные заявления; это путь ;-)
Funk Forty Niner 19 фев. 2015, в 14:08
0

@ Fred-ii- Я сам не использую подготовленные заявления, но я бы согласился, что, пожалуй, это лучший способ.
Loko 19 фев. 2015, в 14:12
0

Построение операторов SQL с внешними переменными делает ваш код уязвимым для атак внедрения SQL. Кроме того, любые входные данные с одинарными кавычками, такие как «О'Мэлли», взорвет ваш запрос. Узнайте о параметризованных запросах, желательно с модулем PDO, для защиты вашего веб-приложения. Этот вопрос имеет много подробных примеров. Смотрите также bobby-tables.com/php для альтернатив и объяснения опасности.
Andy Lester 19 фев. 2015, в 15:11

Показать ещё 8 комментариев

Теги:

php

sql

web

syntax-error

1 ответ

Ещё вопросы

Не используйте устаревший mysql_* API. use mysqli_ * `или pdo. А также используйте подготовленное заявление. Это безопаснее и намного удобочитаемее.
Избавьтесь от одинарных кавычек в ваших переменных $ _POST. $_POST['pass'] => $_POST[pass]
Еще лучше; предварительно определите ваши переменные, очистите ваши входные данные; используйте подготовленное заявление.
Если вы собираетесь использовать mysql_real_escape_string для одного, сделайте это для всех.
@ Fred-ii- Если вы собираетесь использовать mysql_real_escape_string для одного, не делайте этого вообще.
@Loko Подготовленные заявления; это путь ;-)
@ Fred-ii- Я сам не использую подготовленные заявления, но я бы согласился, что, пожалуй, это лучший способ.
Построение операторов SQL с внешними переменными делает ваш код уязвимым для атак внедрения SQL. Кроме того, любые входные данные с одинарными кавычками, такие как «О'Мэлли», взорвет ваш запрос. Узнайте о параметризованных запросах, желательно с модулем PDO, для защиты вашего веб-приложения. Этот вопрос имеет много подробных примеров. Смотрите также bobby-tables.com/php для альтернатив и объяснения опасности.

Halayem Anis · Answer 1 · 2015-02-19T11-45-00.000Z

У вас есть некоторые ошибки конкатенации PHP, попробуйте с этим:

$sql="UPDATE users SET pass='". $_POST['pass'] . "',
      fname='" .     $_POST['fname'] . "',
      lname='" .     $_POST['lname'] . "',
      mi='" .        $_POST['mi'] . "',
      age='" .       $_POST['age'] . "',
      course='" .    $_POST['course'] . "',
      yearlevel='" . $_POST['yearlevel'] . "'
      WHERE id=" . mysql_real_escape_string($_POST['id']);

и тогда у вас все еще будет проблема с SQL-инъекциями, и вы все равно будете использовать устаревшее расширение mysql_ *. Но да, это сразу исправит синтаксическую ошибку
Правильный ответ, но вы должны упомянуть, что OP не должен использовать функцию mysql_ *, поскольку она устарела +1