在 Raspberry Pi 上的 Apache 中 PHP 不会与 MySQL 交互

Question

几天前，我在我的 Raspberry Pi 2 Model B+ 上安装了 MySql，看看我是否可以使用它、PHP、phpmyadmin 和 Apache 来创建一个可访问的数据库来组织和分类家里的书籍。我在 MySQL 数据库中有一个表，该表设置为具有三列的原型；书号（设置为自动递增）、书名和作者姓氏。我正在尝试在数据库 bookProof 中使用表单将书籍插入表 beta 中。 这是表单的代码：

<html>
<body>

<form action="catalog.php" method="POST">
<p>Book Title: <input type="text" name="title"></p>
<p>Author's Last Name: <input type="text name="authorlastname"></p>
</form>

</body>
</html>

其中链接到“catalog.php”，即：

<?php

define('DB_NAME', 'bookProof');
define('DB_USER', 'root');
define('DB_PASSWORD', 'root');
define('DB_HOST', 'localhost');

$conn = new mysqli(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME);

if ($conn->connect_error) {
    die("Could not connect: " . $conn->connect_error);
}

$value = $_POST["title"]
$value2 = $_POST["authorlastname"]


$sql = "INSERT INTO beta ('title', 'authorLastName') VALUES ('".$value."', '".$value2."')"

$query = mysqli_query($conn,$sql);

if ($conn->($sql) === TRUE) {
    echo "New entry completed successfully";
} else {
    echo "Error: " . $sql . "<br>" . $conn->error;
}

$conn->close();
?>

打开demoform.php时功能正常，但是点击“添加图书”按钮时，按预期进入catalog.php，但是catalog.php页面是空白的，表格没有变化，谷歌Chrome 的“检查”工具给出了错误：

POST http://192.168.254.11/Library/catalog.php 500 (Internal Server Error)     catalog.php:1

如果有人知道如何获取数据库的输入，请告诉我。

注意：这只是一个家庭系统，因此安全不是优先事项（我不需要 SQL 代码注入保护）。

Answer 1

您的注释，“...安全不是优先事项（我不需要 SQL 代码注入保护）” - 您可能会这么认为，但无论如何您都应该这样做。如果您的系统被公开（或稍后公开），它不仅可以保护您的数据库，它还会自动为您处理字符串，因此如果您的字符串中包含引号'，您的查询不会中断。

一个问题是您在列名和表名周围使用单引号。这应该是反引号，或者根本没有。然后，在定义 $value、$value2 和 $sql 字符串后，您缺少分号 ;。

然后你做了一些奇怪的事情——这也导致了一个解析错误（如果你启用了错误报告并检查了你的日志，你会看到一个“解析错误：语法错误，意外（ ”错误），您正在使用 mysqli_query() 查询表，但随后您尝试再次执行此操作 - 除非您尝试查询查询字符串，而不是查询方法。请注意我在下面的代码中添加的 cmets。

// Don't use singlequotes ' for columns and table-names
// Use backticks ` - quotes are for strings 
$sql = "INSERT INTO beta (`title`, `authorLastName`) VALUES ('".$value."', '".$value2."')"; // You were also missing a semicolon here!

// $query = mysqli_query($conn,$sql); // Remove this line, as you're attempting to query it twice 

if ($conn->query($sql) === TRUE) { // You're missing the query() method here
    echo "New entry completed successfully";
} else {
    echo "Error: " . $sql . "<br>" . $conn->error;
}

使用准备好的语句不会有太大的不同，你真的应该这样做。绝对没有理由不使用准备好的语句！看看有多么小的改变！

$sql = "INSERT INTO beta (title, authorLastName) VALUES (?, ?)";

if ($stmt = $conn->prepare($sql)) { 
    $stmt->bind_param("ss", $value, $value2);
    $stmt->execute();
    $stmt->close(); 
} else {
    echo "Error: " . $sql . "<br>" . $conn->error;
}

您还有一些无效的 HTML，这会导致问题 - 以下行缺少引号以关闭 type 属性。

<input type="text" name="authorlastname">

我建议你阅读以下文档和文章

• When to use single quotes, double quotes, and backticks in MySQL
• How can I prevent SQL injection in PHP?
• PHP manual on mysqli_stmt::bind_param
• How to get useful error messages in PHP?
• PHP Parse/Syntax Errors; and How to solve them?

作为最后一点，您应该在将表单插入数据库之前检查表单是否已提交并且它是否具有值。此外，使用像 $value 和 $value2 这样的变量名并不是真正的描述性 - 你应该避免它并为你的变量使用正确的名称。