1
Beispiel-Code:Über Zitate in mySQL Abfrage
$query = "INSERT INTO $table SET
category = '".$_POST['new_dish_category']."',
name_of_dish = '".$_POST["new_dish_name"]."',
discription = '".$_POST["new_dish_discription"]."',
weight = '".$_POST["new_dish_weight"]."',
price = '".$_POST["new_dish_price"]."'";
mir jemand erklären, warum wir hier Anführungszeichen wie ist es? Erster und zweiter von ihnen kann ich unterlegen, aber der dritte und dann Verkettung - ich verstehe nicht.
Und die zweite Frage: Vielleicht gibt es einen besseren Weg? Ich bin nur ein Anfänger und mein Englisch ist arm, also ... :)
Ja, ja, ja, es gibt einen viel besseren Weg! Weil dies für SQL-Injection offen ist. Ich bin nicht sicher, ob Sie [PDO] (http://php.net/manual/en/pdo.prepared-statements.php) oder [mysqli] (http://php.net/manual/en /mysqli.quickstart.php) (BITTE verwenden Sie eine davon), aber schauen Sie sich vorbereitete Anweisungen und Parameterbindung an. Als String müssen Ihre Variablen, die in Ihre Spalten gehen, in Anführungszeichen gesetzt werden, aber vorbereitete Anweisungen eliminieren diese Notwendigkeit. – aynber
In dieser Query-Zeichenfolge setzen Sie den Inhalt der Zeichenfolge auf alles zwischen den doublequotes ("). Dies bedeutet, dass die singlequotes (') tatsächlich in der Zeichenfolge sein wird. Was ist, was Sie für die SQL korrekt sein möchten. Die SQL-Zeichenfolge, die Sie generieren, wird etwa so aussehen: 'INSERT INTO test_table SET Kategorie = 'testcategory1', name_of_dish = 'Pizza Margarita', ... und so weiter. – Cashbee
Sollte '' Beschreibung '' und Gewicht und sein Preis sollte nicht '' ''sie sollte Integer/Dezimalfelder –