PHP試圖將$ _POST ['var']作爲文本獲取到表中

Question

我在遇到以下代碼時遇到了問題。它已被簡化以顯示問題。我使用循環，因爲輸入名稱是相同的，需要在mysql表中創建多個新行。問題是我使用$ _POST ['name'] [$ i]，表格不會接受，因爲它不會將它看作'文本'，...我想。像我說的那樣，代碼被大大簡化了。

for($i=0;$i<count($_POST['url']); $i++) { 
    $sql = 'INSERT INTO urls (url) VALUES ('. $_POST['url'][$i].')'; 
    if(!mysql_query($sql)) { 
    echo "error " . mysql_error(); 
    } 
} 

我試圖與此有關rememdy -

$ SQL = 'INSERT INTO網址（URL）VALUES（' '「'。$ _POST [ 'URL'] [$ i]於」。「 '。'）';

如果我這樣做它的工作原理，沒有錯誤

$sql = 'INSERT INTO urls (url) VALUES (' " hello " ')'; 

這可能是一個新手型搞錯吧？感謝任何幫助。

Answer 1

嘗試這種說法

$sql = "INSERT INTO urls (url) VALUES ('". mysql_real_escape_string($_POST['url'][$i])."')"; 

Answer 2

你只需要在你的MySQL查詢添加周圍張貼的價值行情如下圖所示。另外，如果你沒有逃跑的輸入，這是一個巨大的SQL注入漏洞：

$data = mysql_escape_string($_POST['url'][$i]); 
$sql = 'INSERT INTO urls (url) VALUES ("'.$data.'")'; 

查詢打破的MySQL因爲MySQL認爲你的崗位價值應該是不帶引號的數字。

Answer 3

看到由mysql_error（）返回的實際錯誤信息會很有幫助，但我認爲你的問題是你沒有提供$ _POST值給sql查詢，因爲它認爲它是文本。

嘗試

$sql = "INSERT INTO urls (url) VALUES ('". mysql_real_escape_string($_POST['url'][$i]) ."')"; 

Answer 4

更換

$sql = 'INSERT INTO urls (url) VALUES ('. $_POST['url'][$i].')'; 

一個更清潔的方式（和錯誤是固定的）：

$urls = (isset($_POST['url']) && is_array($_POST['url'])) ? $_POST['url'] : array(); 
foreach($urls as $url) { 
    if(!is_string($url)) { 
     continue; 
    } 
    $sql = "INSERT INTO urls (url) VALUES ('" . mysql_real_escape_string($url) . "')"; 
    if(!mysql_query($sql)) { 
     echo "error " . mysql_error(); 
    } 
} 

確保在$ _ POST [ '鏈接']是一個數組將不會試圖將一個非數組（或不存在的鍵）作爲一個數組來處理。 is_string是爲了防止用戶試圖拋出一個子數組來讓PHP拋出一個「使用數組作爲字符串」的通知。逃避是爲了避免SQL注入，並且添加的單引號是MySQL知道它是一個字符串。

Answer 5

在通過SQL語句插入它們之前，您需要先跳過$ _POST變量，最好使用mysql_real_escape_string()函數來強化您的查詢，以防止SQL injection attacks。

Answer 6

Corbin提供的答案很好 - 但是儘量不要在循環中觸發插入查詢。

您可以創建sql查詢作爲一個字符串，然後觸發插入查詢一次。您可以將插入語句從 插入到表（字段）值（1）中;您可以將插入語句從 插入到表（字段）值（1）中。插入表（字段）值（1）的 ;插入表（字段）值（1），（2），（3），（4）...

這是一個更優化的解決方案 - 但是mysql有一個最大長度，可以使用sql語句 - 因此請使用您的最佳判斷。