查詢始終輸出Probmlem

Question

有誰知道在此查詢的問題是什麼，每次我往裏面outouts腳本的形式「問題！」

if(isset($_POST['submit'])){ 
//getting the text data from the fields 
$title = $_POST['title']; 
$cat= $_POST['cat']; 
$desc = $_POST['desc']; 
$qty = $_POST['qty']; 
$price = $_POST['price']; 
$status = $_POST['status']; 



//getting the image from the field 
$image = $_FILES['image']['name']; 
$image_tmp = $_FILES['image']['tmp_name']; 

move_uploaded_file($image_tmp,"images/drinks/$image"); 


$insert_product = "insert into drinks (title,cat,image,desc,qty,price,status) values ('$title','$cat','$image','$desc','$qty','$price','$status')"; 

$insert_pro = mysqli_query($con, $insert_product); 

if($insert_pro){ 

echo "<script>alert('Drink Has been inserted!')</script>"; 
echo "<script>window.open('index.php?viewdrink','_self')</script>"; 

} 
else{ 
    echo "<script>alert('Problem!')</script>"; 
} 
} 

如何改進此代碼使其工作。

Answer 1

DESC是一個MySQL的保留字，它必須被包裹在蜱，如果你想繼續使用該列的名字。

$insert_product = "insert into drinks (title,cat,image,`desc`,qty,price,status)...."; 

已經查詢（在else{...}）使用mysqli_error($con)，就已經暗示了語法錯誤。

你也開到一個SQL注入。使用準備好的語句。

• https://en.wikipedia.org/wiki/Prepared_statement

如果還是失敗，請確保沒有插入字符會導致注射和所有陣列包含價值。無論如何，你應該轉義所有插入數據庫的值。

使用PHP的錯誤報告：

• http://php.net/manual/en/function.error-reporting.php