从“@”开始的 SQL 语法错误

Question

当我运行包含“@”的字符串时，我的 mySQL 查询卡住了。我试过 htmlentities() 和 htmlspecialchars() 无济于事。这是我正在运行的：

    $name=$_POST['name'];
$first=$_POST['first'];
$last=$_POST['last'];
$bio=htmlentities($_POST['bio']);
$email=htmlentities($_POST['email']);
$pass=$_POST['pass'];
$date=date("m/d/y");
$bd=date('m-d-y',strtotime($_POST['month'].$_POST['date'].$_POST['year']));
$qer="insert into everything (user,first,last,bio,email,pass,date,bd) values ($name,$first,$last,$bio,$email,$pass,$date,$bd)";
if(!(mysql_query($qer,$con))){
    echo "no qer";
    echo mysql_error();
}

这是错误：

您的 SQL 语法有错误；检查手册 对应于您的 MySQL 服务器版本，以便使用正确的语法 靠近 '@re5yhgr5tyhrtyhr5tyr5tyhrt,test@first.com,pass,12/13/12,01-01-70)' 在第 1 行

我最初只是在我的电子邮件参数中尝试它，但我现在知道它在哪里都有问题。 >:|

我假设“第 1 行”是 sql 的第一行，因为我的实际第 1 行是“”...

对不起，如果这很明显，提前谢谢！

Answer 1

插入数据类型为string 的值时，应用单引号括起来。 （也适用于日期、时间、日期时间等，只要不是数字即可）

$qer="insert into everything (user, first, last, bio, email, pass, date, bd) 
      values ('$name', '$first', '$last', ...)";

但是上面的查询很容易被SQL Injection攻击，请阅读下面的文章来了解如何防止SQL Injection

• How can I prevent SQL injection in PHP?

Answer 2

尝试：在 varchar、char 或 date 类型的字段中添加撇号 (')。

 ...values ('$name','$first','$last','$bio','$email','$pass','$date','$bd')...

Answer 3

您应该将插入 sql 的参数包装在字符串中，例如 "test@first.com"