Запись в БД через POST
так работает:
$userReg = "INSERT INTOuser(mail) VALUES ('test')";
а так нет:
$userReg = "INSERT INTOuser(mail) VALUES ('$_POST['label']')";
Может так
$userReg = "INSERT INTO user(mail) VALUES ('{$_POST['label']}')";
и этот код открыт для SQL инъекций. Лучше всего использовать подготовленные запросы. Сейчас, если в $_POST['label'] будет строка с одинарной кавычкой, то sql запрос будет невалидным.
Никаких POST'ов в запросе! Даже в 90-е годы это было адским злом, а уж в 2017-ом тем более.
Если всё же сильно хочется воткнуть POST прямо в строку запроса, то значение надо экранировать, иначе получится уязвимость SQL-inj:
$userReg = "INSERT INTO user SET mail = '".addslashes($_POST['label'])."'";
Если к базе уже есть коннект, то корректнее экранировать так:
$userReg = "INSERT INTO user SET mail = '".mysql_real_escape_string($_POST['label'])."'";
Оба варианта - плохие. Лучше не рассматривать их вообще и сразу шагнуть в 21й век в объятия PDO:
$dbh = new PDO($dsn, $user, $password);
$sth = $dbh->prepare('INSERT INTO user SET mail = :mail');
$sth->execute([':mail' => $_POST['label']]);
И всё! Вы в безопасности!
Пример подключения к базе, подготовка и выполнение запроса.
Есть интересная особенность, вы не можете вставить в значение string ячейку массива без использования операторов. PHP сконвертирует только "чистую" переменную ($variable). $array['key'] не будет принято интерпретатором. Вообще, в любом случае подобная реализация некорректна из-за 2 причин. Как сказали выше это небезопасно. И второй момент, читаемость хромает в таком случае. Лучше все оформлять одним стилем, а именно
$var = "text " . $var2 . " text";
if (!empty($_POST)) {
$lable1 = isset($_POST['label']) ? strip_tags(trim($_POST['label'])) : '';
$lable1=(string)$lable1;
} Уточнить что только сторока будет в этой переменной.`
далее минимально подготавливаем запрос.
$host='localhost';
$user='ivan';
$password='сам придумай';
$database='твоя база';
$port='80';
$link=mysqli_connect($host,$user,$password,$database,$port);
$userReg=mysqli_real_escape_string($link, $userReg);
$query="INSERT INTO user (mail) VALUE (".$test.")";
$result=mysqli_query($link,$query);
mysqli_close($link);
-
07:46
-
21:56
Перевод документов на английский язык: Важность и ключевые аспекты
-
20:52
-
11:43
-
07:54
Какие существуют виды рекламных бордов и как выбрать подходящий?
-
20:34
-
05:36
-
21:11
-
14:43
- Почему SERVER_ADDR имеет не тот IP 47471 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 30465 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 23557 visits
- Как через css изменить цвет png изображения? 10324 visits
- Blob video url download 9933 visits
- Php curl запрос через прокси с авторизацией 9183 visits
- Работа с captcha vk api 8065 visits
© "hostciti.net" 07.10.2024 | 08:15