php - 如何将 NULL 值从 PHP 变量插入 MySQL,远离 SQL 注入(inject)?

标签 php mysql null

我有一个歌曲上传表单,我不会在 MySQL 中直接输入 NULL 值,例如:mysql_query("INSERT INTO songs (album_id) VALUES (NULL)". 我将从 PHP 变量中插入 NULL 到 MySQL,并且肯定不会受到 SQL 注入(inject)攻击。

我的 SQL 表是:

CREATE TABLE IF NOT EXISTS `songs` (
  `song_id` int(4) NOT NULL,
  `song_name` varchar(64) NOT NULL,
  `artist_id` int(4) NOT NULL,
  `album_id` int(4) DEFAULT NULL,
  `genre_id` int(4) DEFAULT NULL
  PRIMARY KEY (`song_id`)
) ENGINE=InnoDB  DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ;

我的 FORM 和 FORM HANDLER 代码是(PHP,HTML)如下:

<?php

if(isset($_REQUEST['SongForm']))
{
$song_name = trim($_POST['song_name']);
$artist_id = trim($_POST['artist_id']);
$album_id = $_POST['album_id']; if($album_id == 0) { $album_id = 'NULL'; } // I even tried using NULL instead of 'NULL'
$genre_id = $_POST['genre_id']; if($genre_id == 0) { $genre_id = 'NULL'; }

$query = mysql_query("
INSERT INTO `songs` (`song_name`, `artist_id`, `album_id`, `genre_id`) 
VALUES ('".$song_name."', '".$artist_id."', '".$album_id."', '".$genre_id."')
");
}

?>

<form method="post" action="<?php echo $_SERVER['PHP_SELF']?>" name="SongForm" id="SongForm">
<table style="width: 100%">
<tr>
<td><b>Song Name</b></td>
<td><input name="song_name" value="" type="text" required /></td>
</tr>
<tr>
<td><b>Artist Name</b></td>
<td>
<select id="artist_id" name="artist_id">
<option value ="0">No Artist</option>
<option value ="1">Jennifer Lopez</option>
</select>
</td>
</tr>
<tr>
<td><b>Album Name</b></td>
<td>
<select id="album_id" name="album_id">
<option value ="0">No Album</option>
<option value ="1">Rebirth</option>
</select>
</td>
</tr>
<tr>
<td><b>Genre Name</b></td>
<td>
<select id="genre_id" name="genre_id">
<option value ="0">No Genre</option>
<option value ="1">Epic Records</option>
</select>
</td>
</tr>
<tr>
<td><b>&nbsp;</td></b>
<td><input name="SongForm" type="submit" value="Upload Song" /></td>
</tr>
</table>
</form>

但在此之后我在 MySQL 中得到的结果如下:

序列号:1 歌名名称:我,爱 艺人编号:1 相册编号:1 类型 ID:1

现在,当我没有为任何歌曲选择“专辑 ID”和“流派 ID”时,它应该在 MySQL 中输入“NULL”。但是输入的是“0”。

因此结果如下:

序列号:1 歌名名称:我,爱 艺人编号:1 相册编号:0 流派 ID:0

请给我一个解决方案,让我在选择“无专辑”和“无流派”时可以输入NULL。

请不要让我在解释不相关的话题时感到困惑。

感谢支持解释答案的 friend ,虽然任何答案都没有给我正确的解决方案。

最佳答案

在您的代码中,检查您的变量是否为空,如果它们为空,请使用 NULL 而不是变量。 要将 NULL 传递给 MySQL,请尝试

INSERT INTO table (field,field2) VALUES (NULL,3)

关于php - 如何将 NULL 值从 PHP 变量插入 MySQL,远离 SQL 注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20141111/

上一篇:php - mac/linux 的 mysqldump 常见安装位置

下一篇:mysql - 完全通过 FIFO 连接到 MySQL 客户端

相关文章:

java - 为什么我的空检查这么慢?

PHP - 太多 mysql_query ("SELECT .. ") ..?

javascript - 将多维数组从mysql传输到php再到javascript

php - 我可以一次将一个 mysql 函数转换为 PDO 吗?

mysql - 如何在多个表中选择唯一的折扣

jsf - PrimeFaces DataTable 选择在dialog.show() 上变为空

php - 如何在 PHP 中保存这个字符串?

php - 返回 PDO 数据

php - 从mysql反序列化数据

java - 我们是否应该总是在第一行检查java中方法的每个参数是否为null?

©2024 IT工具网  联系我们