为什么我的 4 个 PHP 输入中只有 1 个正确写入数据库？ [关闭]答案

【问题标题】：Why does only 1 out of my 4 PHP inputs correctly write into the database? [closed]为什么我的 4 个 PHP 输入中只有 1 个正确写入数据库？ [关闭]
【发布时间】：2014-02-27 05:54:44
【问题描述】：

这是我的 HTML - 表单在一个大表中，因为我最终希望从数据库输出的数据在那里。

<form name="form1" method="post" action="php/InsertMatch.php" >
            <table>
                <tr>
                    <td>Hero</td>
                    <td>Result</td>
                    <td>Game Mode</td>
                    <td>MMR</td>
                    <td>Diff</td>
                </tr>
                <tr>
                    <td>Keeper of the light</td>
                    <td>Win</td>
                    <td>All Pick</td>
                    <td>3500</td>
                    <td>--</td>
                </tr>
                <tr>
                    <td><input id="select_hero" type="text" name="select_hero"></td>
                    <td>
                        <select name="winloss">
                            <option value="win">Win</option>
                            <option value="loss">Loss</option>
                        </select>
                    </td>
                    <td>
                        <select name="gamemode">
                            <option value="allpick">All Pick</option>
                            <option value="capmode">Captains Mode</option>
                            <option value="capdraft">Captains Draft</option>
                        </select>
                    </td>
                    <td><input id="input_mmr" type="text" name="input_mmr"></td>
                    <td>N/a</td>
                </tr>
            </table>
            <input id="submit_game" type="submit" name="submit" value="Submit game">
        </form>

以上总结：要输入数据库的 4 件事。两个文本输入（均无效）和两个下拉框。唯一有效的似乎是winloss 函数。我将在现在出现的 PHP 下方显示数据库条目：

<?php

$host="localhost";
$username="root";
$password="";
$db_name="dota_site_test";
$tbl_name="matches";

mysql_connect("$host", "$username", "$password") or die ("cannot connect");
mysql_select_db("$db_name") or die("cannot select DB");

//names from form.
$hero=$_POST['select_hero'];
$winloss=$_POST['winloss'];
$gamemode=$_POST['gamemode'];
$mmr=$_POST['input_mmr'];

//data into mysql

$sql="INSERT INTO $tbl_name(Hero, Result, GameMode, MMR)VALUES('$hero', '$winloss', 'gamemode', 'mmr')";
$result=mysql_query($sql);

//if successful, displays message

if($result){
    echo "Successful";
    echo "<br />";
    echo "<a href='d2index.php'>Back to main page</a>";
}

else{
echo "ERROR";
}
?>

我不确定上面有什么问题，我会假设什么？因为我大部分都是从这里使用的：http://www.phpeasystep.com/mysql/5.html

这是我从 2 个具有不同输入的条目中获得的数据库：

0 | win | gamemode | 0
0 | loss| gamemode | 0

因此只有winloss 似乎有效..

如果需要，这里是数据库表信息的图片：http://imgur.com/OPcNmFl

编辑：哎呀。我已经添加了 $ 符号，现在 MMR 和 gamemode 工作正常。但不是hero 函数。有什么想法吗？

EDIT2：感谢您对 SQL 注入攻击的警告。我承认此代码非常不安全（仅托管在我的 PC 上），因此我警告任何阅读此代码的人要注意这一点。谢谢。

【问题讨论】：

你在$sql="INSERT INTO $tbl_name(Hero, Result, GameMode, MMR)VALUES('$hero', '$winloss', 'gamemode', 'mmr')";行中错过了gamemode和mmr前面的$
您的主要问题是您仍在使用已弃用的mysql_ 扩展，这使您的代码容易受到微不足道的 SQL 注入攻击。 .将 mysqli_ 与准备好的语句或 PDO 一起使用。
此代码欢迎SQL注入
不要使用显示旧 MySQL 扩展的教程，寻找使用 MySQLi 或 PDO 的教程以及准备好的语句和绑定变量（例如 mattbango.com/notebook/code/…）
@Prashank 我知道这段代码在防范 SQL 注入方面很差。但是目前我已经学习 PHP/MYsql 2 天了。所以我主要专注于学习如何将元素输入数据库。这一切都只托管在我的电脑上。因此，如果她愿意，唯一可以 SQL 注入我的东西的人就是我的女朋友。我希望不会。

标签： php html mysql sql phpmyadmin

【解决方案1】：

除了广为人知的SQL Injection Attack 漏洞之外，也许还有这个？

INSERT [..snip...] VALUES('$hero', '$winloss', 'gamemode', 'mmr')"
                                                ^--no $     ^---no $

您正在尝试插入固定不变的字符串，而不是您之前定义的变量。

【讨论】：

另外，hero 似乎是一个数字 ID 字段，他正试图将文本放入其中。
@DigitalChris 这也可能是个问题。
@DigitalChris，这同样适用于 MMR——插入文本的 int(20) 字段（添加 $ 后）
@k4kuz0，阅读第一条评论。您正在尝试将文本插入数字字段。
是的，谢谢@AlexanderMP 咳嗽

【解决方案2】：

这可能是因为您忘记在查询中添加$ 符号。

应该是这样的

$sql="INSERT INTO $tbl_name(Hero, Result, GameMode, MMR)VALUES('$hero', '$winloss', '$gamemode', '$mmr')";

【讨论】：