Почему мой запрос не работает для mysql? Синтаксис кажется правильным

Question

Я пытаюсь выполнить класс регистра. Но запрос не работает (запрос подсвечивается. Кажется, это простая проблема, но я ее не вижу. Я повторяю запрос и копирую и выполнить его с помощью PHPMyAdmin SQL поля запроса, это говорит об ошибке 1064. Я не могу найти никаких проблем с ним.

<?php 
class register 
{ 
    protected $username; 
    protected $password; 
    protected $email; 
    protected $postcode; 

    public function __construct() 
    { 
    } 

    public function insertuser($username, $password,$email, $postcode) 
    { 
     $this->_email = mysql_real_escape_string($email); 
     $this->_password = mysql_real_escape_string($password); 
     $this->_username = mysql_real_escape_string($username); 
     $this->_postcode = mysql_real_escape_string($postcode); 



    **$query = "INSERT INTO 'users'('user_id', 'username', 'password', 'email', 'postcode') VALUES (NULL,'{$username}','{$password}','{$email}','{$postcode}');";** 


     echo $query; 
     $result = mysql_query($query); 
     return $result; 
    } 


} 
?> 

Answer 1

error 1064 означает ошибку синтаксиса SQL. Вы использовали одиночные кавычки вокруг имени таблицы и столбец имена:. ' Замените их backtics: `

"INSERT INTO `users` (
    `user_id`, `username`, `password`, `email`, `postcode` 
) VALUES (
    NULL,'{$username}','{$password}','{$email}','{$postcode}' 
);" 

Дополнительная записка, что вы должны не t написать новый код с помощью расширения mysql. Он был отмечен устаревшими разработчиками PHP. Вместо этого используйте PDO или mysqli.

Answer 2

Синтаксис кажется неправильным. Имена таблиц и столбцов не должны содержать кавычек. У них должны быть обратные или ничего. В противном случае они рассматриваются как строковые литералы.

INSERT INTO users (user_id, username, password, email, postcode) 
VALUES (NULL,'{$username}','{$password}','{$email}','{$postcode}') 

Вам также не нужен список полей, если список значений завершен и в порядке. Конечная точка с запятой нежелательна (хотя и неэффективна).

---

Ваш код уязвим для инъекций. Вы должны использовать правильно параметризованные запросы с PDO или mysqli

Answer 3

У вас есть одинарные кавычки вокруг вашей таблицы и столбцов. Вы вводите их в заблуждение с помощью обратных ссылок - которые не нужны, если вы не использовали reserved word (что вам следует избегать ИМО).

Кроме того, вы не использовали ваши дезинфицированные переменные и поэтому уязвимы для SQL injection.

INSERT INTO users (user_id, username, password, email, postcode) VALUES (NULL,'{$this->_username}','{$this->_password}','{$this->_email}','{$this->_postcode}'); 

Обязательно: В mysql_* функции будут deprecated in PHP 5.5. Не рекомендуется писать новый код, поскольку он будет удален в будущем. Вместо этого либо MySQLi, либо PDO и be a better PHP Developer.

Answer 4

Вы должны обязательно рассмотреть возможность переключения на mysqli в дополнение к использованию подготовленных операторов. Использование подготовленных операторов упростит ваши запросы и еще больше защитит вас от инъекций.

См http://php.net/manual/en/mysqli.prepare.php

Как для ошибок, есть несколько вещей неправильно. Не вызывайте БД с помощью кавычек. Не обрабатывайте имена таблиц кавычками. Это все, что указано в «Взрывных таблетках».

Наконец, я не вижу, где вы открыли соединение mysqli.