首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
社区首页 >问答首页 >为什么这个简单的insert语句不起作用(PDO)?

为什么这个简单的insert语句不起作用(PDO)?
EN

Stack Overflow用户
提问于 2012-01-10 13:11:50
回答 1查看 742关注 0票数 0

代码很简单-从表单中获取一个值,将其插入到mysql DB中。下面是一段代码:

代码语言:javascript
代码运行次数:0
运行
复制
//connect to DB
$dbh = new PDO($db_pdo, $db_user_name, $db_password);

//capture value from form
$first_name = $_POST['first_name'];

//insert value into DB (doesn't work- no new entry created in requests)
$dbh->exec("INSERT INTO requests(first_name) VALUES($first_name)");

//this echo statement works (outputs the value of $first_name):
echo "\$first_name ".$first_name;

//this insert statement works: 
$dbh->exec("INSERT INTO requests(first_name) VALUES('oleg')");
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2012-01-10 13:12:59

没错,你必须引用你的字符串。

代码语言:javascript
代码运行次数:0
运行
复制
$dbh->exec("INSERT INTO requests(first_name) VALUES('$first_name')");

但是这段代码容易受到SQL注入的攻击。我不确定在PHP中如何防止这种情况发生。

票数 3
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/8798838

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档