$ query = "INSERT INTO

Question

Я все еще привыкаю к ​​PHP и тому, что он может делать. Я разработал register.php страницу. У меня это работает, но это только отправка пустых полей в таблицу.

Это код, который я использую:

$query = "
    INSERT INTO users (`id`, `fname`, `lname`, `username`, `email`, `password`)
    VALUES ('', '".$fname."','".$lname."','".$username."','".$email."','".$password."')";

Данные, которые я публикую в базу данных, не вводятся, но есть пустые поля, поэтому что-то происходит.

Я пытался запустить:

echo `$query`; 

И вот что я получаю из вывода:

INSERT INTO users (`id`, `fname`, `lname`, `username`, `email`, `password`) VALUES ('', '','','','','')

Любая подсказка, советы или помощь по этой проблеме очень приветствуются.

Answer 1

Мое предложение:

Для каждого из этих полей назначьте их перед использованием в запросе, если вы еще этого не сделали:

$fname = mysql_real_escape_string($_POST['fname']);

Функция mysql_real_escape_string помогает предотвратить атаки SQL-инъекций.

Answer 2

Может быть, вы думаете, что register_globals равен 'on'?))

Но эта директива ограничена.Покажите свой код перед этим запросом.Вы должны установить переменные ($ lname = mysql_escape_string ($ _ POST ['lname'])) ...

Answer 3

Необходимо убедиться, что для атрибута method в HTML-форме, отправляющей данные, установлено значение post или get.

Если предположить, что имена ваших переменных совпадают с именами полей в форме, тогда вместо использования $fname и т. Д. Укажите ваши данные как $_POST['fname'] или $_GET['fname'] в зависимости от action вашей HTML-формы

Answer 4

При выполнении вставки и без передачи определенного идентификатора лучше использовать NULL вместо того, чтобы оставлять пустое пространство с запятой ... Фактически, я не уверен, является ли этот синтаксис допустимым вообще