Php mysqli и хранимая процедура

Question

У меня есть хранимая процедура:

Create procedure news(in dt datetime,in title varchar(10),in desc varchar(200))

Begin
Insert into news values (dt,title,desc);
End

Теперь мой php:

$db = new mysqli("","","","");

$dt = $_POST['date'];
$ttl = $_POST['title'];
$desc = $_POST['descrip'];
$sql = $db->query("CALL news('$dt','$ttl','$desc')");
if($sql)
{
echo "data sent";

}else{
echo "data not sent";

}

Я новичок в php, помогите пожалуйста

Мой php не работает. Я продолжаю получать сообщение «данные не отправлены». Я что-то делаю неправильно?

Answer 1

Я думаю, где у вас

$sql = $db->query("CALL news('$dt','$ttl','$desc')");

вам нужно

$sql = $db->query("CALL news('".$dt."','".$ttl."','".$desc."')");

Первый сбой, потому что вы отправляете строку '$ dt' в качестве даты-времени (а в этом случае '$ tt1' и '$ desc' в качестве значений поля).

Answer 2

Первое, что приходит на ум, может быть не единственной проблемой:

$db = new mysqli("","","","");

должно быть что-то вроде

$db = new mysqli("localhost","username","pa$$w0rd","database_name");

или если у вас ваш INI настроен правильно (см. ini_get() значения по умолчанию) ,

$db = new mysqli();

Редактировать : Кстати, вы, вероятно, действительно хотите использовать параметризованные запросы (или просто вообще избегать ввода), ваш запрос CALL записывает пользовательский ввод непосредственно в запрос весьма уязвимы для внедрения SQL. Только представьте, что случилось бы, если бы кто-то вставил Description'); DELETE FROM news WHERE (title LIKE '% в $_POST['descrip']:

$sql = $db->query("CALL news('...','...','Description'); DELETE FROM news WHERE (title LIKE '%')");

Не очень хорошо.