-2
我试图向数据库中插入一个字符串,但是当它包含单引号(')时,查询将变为无效。插入查询错误
$set_content=$_POST['content'];
$result = pg_query($db,"INSERT INTO programmes(title,picture,content) VALUES('$set_title','$pic_path','$set_content');");
Q
插入查询错误
A
回答
-1
http://php.net/manual/en/function.pg-query.php
警告用户提供的数据的
字符串插值是极其危险的和 是可能导致SQL注入漏洞。在大多数情况下, 应优先使用pg_query_params(),将用户提供的值作为 参数传递,而不是将它们替换为查询字符串。
$result = pg_query_params($db,"INSERT INTO programmes(title,picture,content) VALUES($1,$2,$3);",Array($set_title,$pic_path,$set_content));
+0
非常感谢!它解决了。该查询现在完美传递。 –
+1
我们不应该回答这样明显的重复。 –
相关问题
- 1. 插入查询给错误
- 2. 错误插入查询
- 3. iOS:SQLITE插入查询错误
- 4. 插入php - 查询错误
- 5. SQL查询错误插入
- 6. android sqlite:插入查询语法错误
- 7. 未知列错误插入查询
- 8. `插入into`查询语法错误
- 9. SQL子查询插入错误
- 10. php mysql +插入查询错误
- 11. 插入查询错误(无效字符)
- 12. 查询插入日期显示错误?
- 13. SQL插入子查询的错误
- 14. 插入卡桑德拉查询错误
- 15. 猫鼬查询/插入无序错误?
- 16. DataGrid - SQL插入查询错误c#
- 17. WPF SQL查询 - 插入错误
- 18. 错误使用插入查询android中
- 19. 参数插入查询错误
- 20. PHP - DB插入错误 - 查询为空
- 21. 语法错误插入查询
- 22. 插入查询产生的“错误400:SPARQL查询:否‘查询=’参数”
- 23. LINQ查询错误加入
- 24. 插入查询
- 25. 插入查询没有给出错误,但没有插入数据库
- 26. 我可以在插入查询中写入插入查询吗?
- 27. sqlite插入查询时出错
- 28. 插入子查询
- 29. SQL插入查询
- 30. 插入查询2005
不是让你自己容易受到SQL注入的,用准备好的语句,你不会有这样的问题:http://php.net/manual/en/function.pg-prepare.php –
你不能在单引号内使用PHP变量。 请尝试以下查询 $ set_content = $ _ POST ['content']; $ result = pg_query($ db,“INSERT INTO programs(title,picture,content)VALUES('”。$ set_title。“','。。$ pic_path。”','“。$ set_content。”') ;“); – gyaan