Я получаю ошибку с моим PHP [закрыт]

Question

Я получаю ошибку с моим PHP [закрыт]

0

Когда я регистрирую свою форму, я получаю эту ошибку. Любая помощь будет большой.

Ошибка:

Parse error: syntax error, unexpected '"', expecting T_STRING or T_VARIABLE or 
T_NUM_STRING in /home/u378761662/public_html/action.php on line 3

Мой PHP:

<?php
$con=mysqli_connect("myhost.com","user","password","db");
$sql="INSERT INTO users values ($_POST["username"], $_POST["pwd"], $_POST["email"])";
if (mysqli_query($con,$sql)) {
echo "User added!";
}

Мой HTML:

<form action="action.php" method="post">
  Username<input type="text" name="username">
  <p>
    Password<input type="password" name="pwd">
    <p>
      Email<input type="text" name="Email">
<p>
    <input type="submit" name="Sign Up" value="Sign Up">
</form>

Bill Karwin 13 дек. 2013, в 22:16

Источник

1

цитаты цитаты цитаты
John Conde 13 дек. 2013, в 21:12
1

К вашему сведению, вы также широко открыты для инъекций SQL
John Conde 13 дек. 2013, в 21:13
0

Вам необходимо отфильтровать входные данные. То, как вы храните значения, не является безопасным. Просто посмотрите, как вы вводите в поле ввода имя электронной почты «Электронная почта», и вы пытаетесь получить ее как «электронная почта».
amarjit singh 13 дек. 2013, в 21:43

Показать ещё 1 комментарий

Теги:

php

database

html

sql

forms

3 ответа

0

Предупреждение: вы все еще уязвимы для SQL-инъекций. Ознакомьтесь с ответом Билла Карвина для решения вашей проблемы, а также для того, чтобы не подвергать себя воздействию таких типов атак.

Как говорится в ошибке, проверьте строку 3, ваши котировки не соответствуют друг другу:

$sql="INSERT INTO users values (" . $_POST["username"] . ", " . $_POST["pwd"] . ", " . $_POST["email"] . ")";

esqew 13 дек. 2013, в 19:25

0

Это проблема цитирования:

$sql="INSERT INTO users values ($_POST['username'], $_POST['pwd'], $_POST['email'])";

Оригинал " вызывал ошибки парсера. Кроме того, как отмечает @JohnConde, это" широко открыта для SQL-инъекций ".

Ed Cottrell 13 дек. 2013, в 19:08

Ещё вопросы

К вашему сведению, вы также широко открыты для инъекций SQL
Вам необходимо отфильтровать входные данные. То, как вы храните значения, не является безопасным. Просто посмотрите, как вы вводите в поле ввода имя электронной почты «Электронная почта», и вы пытаетесь получить ее как «электронная почта».

Bill Karwin · Accepted Answer · 2013-12-13T19-55-00.000Z

Вы должны разработать привычку использовать параметры запроса для динамических значений, которые вы хотите включить в SQL-запросы. Это помогает избежать путаницы в отношении котировок и помогает избежать уязвимостей безопасности.

Это тоже легко!

$sql="INSERT INTO users values (?, ?, ?)";
if ($stmt = mysqli_prepare($con,$sql)) {
  mysqli_stmt_bind_param($stmt, "sss", 
    $_POST["username"], $_POST["pwd"], $_POST["Email"]);
  if (mysqli_stmt_execute($stmt)) {
    echo "User added!";
  }
}

PS: Вероятно, вы храните пароли неправильно

Спасибо за помощь! Теперь я не получаю сообщение об ошибке при регистрации, но материал, вставленный в форму, не отображается в базе данных. Какие-либо предложения?
Билл, вы видели имя поля ввода «Email» и получаете «email»
@amarjitsngh Я только что заметил это. Спасибо!
@amarjitsngh, спасибо, я редактировал вышеупомянутое.