PHP更新テーブルカンマエラー

Question

このようにphpmyadminのテーブルを更新しています。私の質問は基本的に：'$username'の後にコンマが必要な理由、つまり$query.="username = '$username' , ";このコンマが必要な理由がわかりません。

function UpdateTable() 
{ 
    global $connection; 
    $username = $_POST['username']; 
    $password = $_POST['password']; 
    $id = $_POST['id']; 
    $query = "UPDATE users SET "; // username is the name of the column in the database, you need the space in between 
    $query.="username = '$username' , "; 
    $query.= "password = '$password' "; 
    $query.= "WHERE id = $id "; 
    $result = mysqli_query($connection,$query); 
    if(!$result) 
    { 
     die("Query failed". mysqli_error($connection)); 
    } 
} 

Answer 1

これはMySQLの構文であるためです。 http://dev.mysql.com/doc/refman/5.7/en/update.html

UPDATE [LOW_PRIORITY] [IGNORE] table_reference 
    SET col_name1={expr1|DEFAULT} [, col_name2={expr2|DEFAULT}] ... 
    [WHERE where_condition] 
    [ORDER BY ...] 
    [LIMIT row_count] 

Answer 2

それは'$user_name'次必要はありません：MySQLのドキュメントを確認してください。

の前に、の次の行に次の行が必要です。

'$password'に続くスペースのように厳密には必要ではありません。

の前に、の前に、WHEREの行が必要です。このようにフォーマットされているとして、文の

思う：コンマは、本質的に必要とされる

UPDATE users 
    SET username = ? 
     , password = ? 
    WHERE id = ? 

はとして読み込み「ともSET」

より良いパターンが必要なスペースを付加することであり、/またはそれを必要とする行のコンマで区切ります。それが必要でない行でそれをすることを忘れないでください。例えば

$sql = "UPDATE users"; 
$sql.= " SET username = ?"; 
$sql.= ", password = ?"; 
$sql.= " WHERE id = ?"; 

ここで大きな違いはありません。しかし、実際にSQLを動的に生成する必要がある場合、このパターンははるかに簡単です。

---

いくつかの追加の考え。

Do NOTは、データベースに平文のパスワードを格納します。代わりにハッシュ値を格納します。

コードはSQLインジェクションに対して脆弱であるようです。

バインドプレースホルダで準備された文を使用します。静的なSQLテキストで、動的に生成されたSQLではありません。