我有一个注册表单,允许用户根据需要注册尽可能多的人。例如,我不知道是否有1人正在注册,或者是否有500人。所以在服务器端,如果我有3个人立即注册,我需要访问$_POST['first0']
$_POST['first1']
和$_POST['first2']
所有人的名字。所以这里是我的数据库查询。
for ($i=0; $i < runners; $i++) {
$query = "INSERT INTO ".$usertable." VALUES (".$_POST['first'.$i].", ".$_POST['last'.$i].", ".$_POST['age'.$i].",
".$_POST['gender'.$i].", ".$_POST['email'.$i]." , ".$_POST['phone'.$i]." , ".$_POST['address'.$i]." ,
".$_POST['city'.$i]." , ".$_POST['state'.$i]." , ".$_POST['zip'.$i]." , ".$_POST['type'.$i]." , ".$_POST['tshirt'.$i].")";
我查询不工作,所以我知道我的报价和撇号不正确,会有人能告诉我做到这一点的正确方法。任何帮助表示赞赏!
如果您要信任用户不要发布SQL注入代码和不需要的引号,那么您将陷入严重困境。 – bansi
SQL注入资本就在这里。 –