更新文を使用してデータベース値を更新するにはどうすればよいですか？

Question

'company_name', 'company_add', 'price'をプライマリキー'id'として更新しようとしていますが、'something went wrong'というメッセージと'undefined id'というエラーが表示されます。私を助けてください！あなたは、単一引用符で文字の値を配置する必要があり

<?php 
include('data_conn.php'); 

if(isset($_POST['sub'])) 
{ 
    $comname=$_POST['cname']; 
    $comadd=$_POST['cadd']; 
    $pri=$_POST['price']; 

    $query ="UPDATE login SET company_name=$comname,company_add=$comadd,price=$pri WHERE id=$id"; 
    $result = mysql_query($query); 
    echo $result; 
    if(!$result) 
    { 
     echo '<script language="javascript">'; 
     echo 'alert("something went Wrong...:("); location.href="edit.php"'; 
     echo '</script>'; 
    }else{ 
     echo '<script language="javascript">'; 
     echo 'alert("successfully updated!!!"); location.href="edit.php"'; 
     echo '</script>'; 
    } 
} 
?> 

Answer 1

直接代入値を使用する代わりに、以下の方法を使用してSQLインジェクションを回避できます。 （MySQL用）MySQLiのを使用して

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); 

$stmt->execute(array('name' => $name)); 

foreach ($stmt as $row) { 
    // do something with $row 
}

：PDOを使用して

1. （のためのサポートされている任意のデータベースドライバ）：

   $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); 
   $stmt->bind_param('s', $name); 
   
   $stmt->execute(); 
   
   $result = $stmt->get_result(); 
   while ($row = $result->fetch_assoc()) { 
       // do something with $row 
   }

あなたは基本的に2つのこれを達成するためのオプションを持っています

お願いします。 r How can I prevent SQL injection in PHP?

Answer 2

：

$query ="UPDATE login SET company_name='$comname',company_add='$comadd',price=$pri WHERE id=$id"; 

停止非推奨mysql_* APIを使用して。準備された明細書にmysqli_*またはPDOを使用してください。 エラー機能を使用して、エラーメッセージを取得します。