简单的MySQL插入不起作用？

Question

我有最奇怪的问题。我写了这个非常简单INSERT查询：

if(isset($_POST['putUser'])) { 
    $user = $_POST['user']; 
    $amount = $_POST['amount']; 
    $what = $_POST['what']; 
    $country = $_POST['country']; 
    $platform = $_POST['platform']; 

    $query = mysql_query('INSERT INTO sells(id, user, amount, what, country, platform) VALUES (NULL , '.$user.', 1, 1, 1, 1)'); 
    if($query) { 
     echo 'ok'; 
    } else { 
     die(mysql_error()); 
    } 
} 

而且它不起作用。它可以在所有值中使用1而不是如$user那样工作。但是当变量存在时，它会引发错误Unknown column 'Test username' in 'field list'。我的错误在哪里？

Answer 1

以及已传递到查询的值不括引号内。当你不在引号内引用一个字符串时，mysql假定它是一个字段名称。你也忘了逃避你的弦乐。

$query = mysql_query('INSERT INTO sells (id, user, amount, what, country, platform) ' 
     . 'VALUES (NULL , "' . mysql_real_escape_string($user) . '", 1, 1, 1, 1)'); 

最后，你应该使用mysql扩展迁移出来，并使用pdo或mysqli代替。

Answer 2

找你插入领域用户（串）非字符串试试这个：

if(isset($_POST['putUser'])) { 
    $user = mysql_real_escape_string($_POST['user']); 
    $amount = $_POST['amount']; 
    $what = $_POST['what']; 
    $country = $_POST['country']; 
    $platform = $_POST['platform']; 

    $query = mysql_query('INSERT INTO sells(id, user, amount, what, country, platform) VALUES (NULL , "'.$user.'", 1, 1, 1, 1)'); 
    if($query) { 
     echo 'ok'; 
    } else { 
     die(mysql_error()); 
    } 
} 

正如大家说的意见，你不应该使用后的信息对MySQL查询指导，这使“SQL注入atack“是世界上最简单的事情。你应该从字符串中扫描一些字符来防止这种情况。而做一下PDO一些研究PHP这个链接可以帮助here

Answer 3

你需要用字符串中引号：

$query = mysql_query('INSERT INTO sells(id, user, amount, what, country, platform) VALUES (NULL , "'.$user.'", 1, 1, 1, 1)');