запрос не работает при использовании mysqli_real_escape_string

Question

Я преобразование старого сценария быть уступчивым с MySQLi и побежал к проблеме ...

$link = mysqli_connect("localhost", "user", "password", "database"); 

if (mysqli_connect_errno()) { 
    printf("Connect failed: %s\n", mysqli_connect_error()); 
    exit(); 
} 

$myQuery = "INSERT INTO table (name, description) VALUES ('$name', '$description')"; 

if (!mysqli_query($link, $myQuery)) { 
    printf('Error'); 
} else { 
    printf('Success'); 
} 

mysqli_close($link); 

Это работает отлично, без ошибок. Но когда я добавляю mysqli_real_escape_string(), я получаю ошибку ...

$link = mysqli_connect("localhost", "user", "password", "database"); 

if (mysqli_connect_errno()) { 
    printf("Connect failed: %s\n", mysqli_connect_error()); 
    exit(); 
} 

$myQuery = "INSERT INTO table (name, description) VALUES ('$name', '$description')"; 

$myQuery = mysqli_real_escape_string($link, $myQuery); 

if (!mysqli_query($link, $myQuery)) { 
    printf('Error'); 
} else { 
    printf('Success'); 
} 

mysqli_close($link); 

Это возвращает ошибку:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'TestName\', \'TestDescription\' at line 1

я упускаю что-то простое? Цитаты?

Answer 1

Эта линия:

$myQuery = mysqli_real_escape_string($link, $myQuery); 

Это не правильно.

Вы должны использовать переменную $name, а не переменную $myQuery. Это то, что нужно ускользнуть, а не весь запрос.

$myQuery = mysqli_real_escape_string($link, $name); 

Однако^$myQuery должны быть заменены на каждой из переменных используются для вставки.

Ваш запрос должен выглядеть следующим образом:

$name = "TestName"; 
$description = "TestDescription"; 

$name = mysqli_real_escape_string($link, $name); 
$description = mysqli_real_escape_string($link, $description); 

$myQuery = "INSERT INTO `table` (name, description) VALUES ('$name', '$description')"; 

if (!mysqli_query($link, $myQuery)) { 
    printf('Error'); 
} else { 
    printf('Success'); 
} 

---

Nota:

Вы можете посмотреть в использовании mysqli with prepared statements или PDO with prepared statements, они намного безопаснее.

---

Плюс, только ради аргумента; table является MySQL reserved word это должно быть имя самой таблицы и требуется экранировать:

$myQuery = "INSERT INTO `table` 

• Просто понимание.

---

Пример mysqli подготовленного заявления:

$variable_1 = "Text"; 
$variable_2 = "More text"; 

$stmt = $link->prepare("INSERT INTO table_name 
         (column_1, column_2) 
         VALUES (?,?)"); 

$stmt->bind_param('ss', $variable_1, $variable_2); 
$stmt->execute(); 

• Sidenote: s для струнных

---

Пример PDO подготовленные заявления:

$dbh = new PDO('mysql:host=localhost;dbname=your_DB', $user, $pass); 

$var_1 = "Text"; 
$var_2 = "More text"; 

$stmt = $dbh->prepare("INSERT INTO table_name 
         (column_1, column_2) 
         VALUES (:var_1,:var_2)"); 

$stmt->execute(array(':var_1' => $var_1, ':var_2' => $var_2));