Почему этот запрос имеет.?

Question

Я хочу знать, почему следующий запрос. и "" в ". $ _ POST ['date']." и т.д.

$query = "INSERT INTO eventcal ('eventDate','eventTitle','eventContent','user',
'user_id') VALUES('".$_POST['date']."','".addslashes($_POST['eventTitle'])."',
'".addslashes($_POST['eventContent'])."')";     

Если я перейду к следующему, изменится ли это?

VALUES('$_POST['date']','addslashes($_POST['eventTitle'])',
'addslashes($_POST['eventContent'])')

Заранее спасибо.

Answer 1

Это PHP-форма конкатенации (кавычки отмечают конец строки). В JavaScript и многих других языках это символ +, который объединяется.

echo "hello" . " " . "world!"; // Outputs 'hello world'

Да, внесение этого изменения резко изменит его значение.

Наконец, это открыто для серьезной атаки SQL-инъекцией, поскольку date не удалось избежать должным образом.

Всегда очищайте входные данные и по возможности используйте параметризованные запросы.

Answer 2

Одиночные кавычки запрещают интерполяцию переменных, а также одинарные кавычки, используемые в индексе массива, приводят к завершению строки.

Кроме того, используйте библиотеку, которая поддерживает параметризацию запросов, вместо добавления значений, как это.

Answer 3

Оператор «точка» является оператором PHP для конкатенации строк.Я думаю, что использование функции addslashes является лучшей идеей, чем то, что вы использовали в первом примере, но вам все равно придется использовать конкатенацию строк, так как интерполяция строк в PHP поддерживает только переменные.

Answer 4

Да, только переменные разбираются в двойных кавычках, что означает, что ваши функции не будут выполняться во втором блоке кода.