我有以下代码:奇怪的SQL错误
<!--ajouter une carte -->
<?php
if($_POST["submit_dd"]){
mysql_query("INSERT INTO data SET desc='".$_POST["carte_nom"]."' ") or die(mysql_error());
}
?>
<b>Ajouter une carte:</b><br>
<form method="post">
<table>
<tr><td>nom</td><td><textarea name="carte_nom"/></textarea></td></tr>
<tr><td></td><td><input type="submit" name="submit_dd" value="Ajouter"/></td></tr>
</table>
</form>
我从这个非常简单的查询得到一个错误:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'desc='dsfgsdfds'' at line 1
数据库是很简单的:ID(小学,自动递增),递减(文本)
问候
*等待有关SQL注入的意见* – animuson
嗯......看起来你可能有一个SQL注入问题;) – Jakub
尝试使用预准备语句和占位符。 http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html – Cliff