Вставить в таблицу MySQL PHP

Question

У меня возникли проблемы с простой формой для вставки данных в таблицу MySQL. Я получаю эту ошибку SQL:

"Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'stock ('ItemNumber', 'Stock') VALUES ('#4','3'')' at line 1"

Мой HTML для формы является:

<form action="database.php" method="post"> 
    Item Number: <input type="text" name="ItemNumber"> 
    Stock: <input type="text" name="Stock"> 
    <input type="submit"> 
    </form> 

И в PHP является:

<?php 
    $con=mysqli_connect("localhost","root","root","inventory"); 
    if (mysqli_connect_errno($con)) 
     { 
     echo "Failed to connect to MySQL: " . mysqli_connect_error(); 
     } 
    $sql = "INSERT INTO current stock ('ItemNumber', 'Stock') 
    VALUES 
    ('$_POST[ItemNumber]','$_POST[Stock]'')"; 
    if (!mysqli_query($con,$sql)) 
     { 
     die('Error: ' . mysqli_error($con)); 
     } 
    echo "1 record added"; 
    mysqli_close($con); 
    ?> 

Answer 1

попробовать этот

вы не должны использовать цитаты параметра вокруг POST. и вы должны использовать их в POST

 $sql = "INSERT INTO `current stock` (ItemNumber, Stock) 
      VALUES 
     ('".$_POST['ItemNumber']."', '".$_POST['Stock']."')"; 

вы должны бежать переменные, прежде чем вставить их в MySQL, как этот

• Обратите внимание, что пример не называют mysqli_real_escape_string. Вам нужно было бы использовать только mysqli_real_escape_string, если бы вы вставляли строку непосредственно в запрос, но я бы посоветовал вам никогда этого не делать. Всегда используйте параметры, когда это возможно.

Answer 2

У вас есть дополнительные цитаты и вам нужны тики вокруг имени вашей таблицы, так как они содержат пробел.

INSERT INTO current stock ('ItemNumber', 'Stock') 
VALUES 
('$_POST[ItemNumber]','$_POST[Stock]'')"; 

должно быть:

INSERT INTO `current stock` (`ItemNumber`, `Stock`) 
VALUES 
('$_POST[ItemNumber]','$_POST[Stock]')"; 

FYI, вы широко открыты для SQL injections

Answer 3

<form action="database.php" method="post"> 
    Item Number: <input type="text" name="ItemNumber"> 
    Stock: <input type="text" name="Stock"> 
    <input type="submit" name="submit"> 
</form>` 

Answer 4

?php 
    $conn=new mysqli("localhost","root","","inventory") 
    or die("not connected".mysqli_connect_error()); 
    if(isset($_POST['submit']{ 
    $ItemNumber=$_POST['ItemNumber']; 
    $Stock=$_POST['Stock']; 
    $sql="insert into current stock(ItemNumber,Stock) values('$ItemNumber','$Stock')"; 
    $query=mysqli_query($conn,$sql); 
    if($query){ 
     echo"1 row inserted"; 
    }else{ 
     echo mysqli_error($conn); 
    } 
    } 
?> 

Answer 5

Пожалуйста, научиться использовать привязки параметра. Вы создаете код с уязвимостями безопасности.

Вот как сделать свой код в MySQLi:

$sql = "INSERT INTO current stock (ItemNumber, Stock) VALUES (?, ?)"; 

if (!($stmt = mysqli_prepare($con, $sql))) { 
    die('Error: ' . mysqli_error($con)); 
} 

if (!mysqli_stmt_bind_param($stmt, "ii", $_POST[ItemNumber], $_POST[Stock])) { 
    die('Error: ' . mysqli_stmt_error($stmt)); 
} 

if (!mysqli_stmt_execute($stmt)) { 
    die('Error: ' . mysqli_stmt_error($stmt)); 
} 

легче использовать связанные параметры, чем получить все путают с кавычками-внутри кавычек. .

Answer 6

"mysqli_error ($ сопп); mysqli_close ($ сопп); }} >