我在 PHP 中有一个函数可以将值插入到 MYSQL 表中。
function insertRow($db, $new_table, $ID, $Partner, $Merchant)
{
$insert = "INSERT INTO " .$new_table. " VALUES(number, "string", "string")"
$q = mysqli_query($db, $insert);
}
我正在努力自定义 VALUES 部分。我需要数字、字符串和字符串分别是来自 PHP 的 ID、合作伙伴和商家变量。
我试过了
function insertRow($db, $new_table, $ID, $Partner, $Merchant)
{
$insert = "INSERT INTO " .$new_table. " VALUES(" .$ID . $Partner . $Merchant . ")";
$q = mysqli_query($db, $insert);
}
还有。但它似乎不起作用,因为对于 SQL,字符串值必须用引号括起来。但是,如果我更改代码,使其成为 ."$ID"。 “$合作伙伴”。 “$商家”。 ")";因此变量根据需要用引号引起来,它们不再是 PHP 变量。如何让我的 PHP 变量包含在引号中,以便我可以正确执行 SQL?
最佳答案
其他答案,使用连接,是简单的。最好的方法是使用准备好的语句,这将使您的代码更加安全。
$insert = "INSERT INTO " .$new_table. " VALUES(?, ?, ?)";
$q = mysqli_prepare($db, $insert);
mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
mysqli_stmt_execute($q);
进行参数化查询意味着您的查询和数据是分开发送的。这意味着查询的结构已经存在,因此不能被数据中插入的任何其他内容改变,这意味着您可以免受 SQL 注入(inject)攻击。
查看 PHP 手册:
关于php - 将 PHP 变量传递给 MySQL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11163074/