Запись в БД через POST
так работает:
$userReg = "INSERT INTOuser(mail) VALUES ('test')";
а так нет:
$userReg = "INSERT INTOuser(mail) VALUES ('$_POST['label']')";
Может так
$userReg = "INSERT INTO user(mail) VALUES ('{$_POST['label']}')";и этот код открыт для SQL инъекций. Лучше всего использовать подготовленные запросы. Сейчас, если в $_POST['label'] будет строка с одинарной кавычкой, то sql запрос будет невалидным.
Никаких POST'ов в запросе! Даже в 90-е годы это было адским злом, а уж в 2017-ом тем более.
Если всё же сильно хочется воткнуть POST прямо в строку запроса, то значение надо экранировать, иначе получится уязвимость SQL-inj:
$userReg = "INSERT INTO user SET mail = '".addslashes($_POST['label'])."'";Если к базе уже есть коннект, то корректнее экранировать так:
$userReg = "INSERT INTO user SET mail = '".mysql_real_escape_string($_POST['label'])."'";Оба варианта - плохие. Лучше не рассматривать их вообще и сразу шагнуть в 21й век в объятия PDO:
$dbh = new PDO($dsn, $user, $password);
$sth = $dbh->prepare('INSERT INTO user SET mail = :mail');
$sth->execute([':mail' => $_POST['label']]);И всё! Вы в безопасности!
Пример подключения к базе, подготовка и выполнение запроса.
Есть интересная особенность, вы не можете вставить в значение string ячейку массива без использования операторов. PHP сконвертирует только "чистую" переменную ($variable). $array['key'] не будет принято интерпретатором. Вообще, в любом случае подобная реализация некорректна из-за 2 причин. Как сказали выше это небезопасно. И второй момент, читаемость хромает в таком случае. Лучше все оформлять одним стилем, а именно
$var = "text " . $var2 . " text";if (!empty($_POST)) {
$lable1 = isset($_POST['label']) ? strip_tags(trim($_POST['label'])) : '';
$lable1=(string)$lable1;} Уточнить что только сторока будет в этой переменной.`
далее минимально подготавливаем запрос.
$host='localhost';
$user='ivan';
$password='сам придумай';
$database='твоя база';
$port='80';
$link=mysqli_connect($host,$user,$password,$database,$port);
$userReg=mysqli_real_escape_string($link, $userReg);
$query="INSERT INTO user (mail) VALUE (".$test.")";
$result=mysqli_query($link,$query);
mysqli_close($link);
-
13:29
Кофе для программистов: как напиток влияет на продуктивность кодеров?
-
22:13
Рекламные вывески: как привлечь внимание и увеличить продажи
-
19:13
-
16:04
Стратегії та тренди в SMM - Технології, що формують майбутнє сьогодні
-
17:27
Выделенный сервер, что это, для чего нужен и какие характеристики важны?
-
22:17
-
18:08
Современные решения для бизнеса: как облачные и виртуальные технологии меняют рынок
-
18:54
-
17:35
- Почему SERVER_ADDR имеет не тот IP 47898 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 30565 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 23890 visits
- Как через css изменить цвет png изображения? 10395 visits
- Blob video url download 10003 visits
- Php curl запрос через прокси с авторизацией 9271 visits
- Работа с captcha vk api 8144 visits
© "hostciti.net" 22.3.2025 | 03:42