PHPは、データベースにデータを追加しないで、任意のアイデア？

Question

私はPHPを初めて使い、簡単なログインシステムを作っています。 誰かが登録したいときは、register.htmlに行き、insert.phpに行きます。 以下のコードは、フォームのデータをテーブルに追加する必要がありますが、そこには現れません。 私はそれがおそらく次の行であると思われます：$ sql = INSERT INTO ... コードの最後にechoステートメントが表示されます これには簡単な答えがあるかもしれませんが、それを見つける。 ありがとうございます、どんな助けも本当にありがとうございます！再び

insert.php

<?php 
$email=$_POST['email']; 
$name=$_POST['name']; 
$password=$_POST['password']; 
$con = mysql_connect("localhost","user","p@ssword"); 
mysql_select_db("database", $con); 
$sql="INSERT INTO table_name (email, name, password) 
VALUES ('$email', '$name', '$password')";   
echo"Thank you, you are now registered and can login on our homepage"; 
mysql_close($con); 
?> 

のためのコードは、ありがとう！

Answer 1

接続を確立してクエリを準備しましたが、実際には実行しませんでした。 mysql_query()に電話し、SQLと接続ハンドルを渡して、データベースに命令を実行するように指示する必要があります。

<?php 
$email=$_POST['email']; 
$name=$_POST['name']; 
$password=$_POST['password']; 
$con = mysql_connect("localhost","user","p@ssword"); 
mysql_select_db("database", $con); 
$sql="INSERT INTO table_name (email, name, password) 
VALUES ('$email', '$name', '$password')"; 
mysql_query($sql, $con) or trigger_error(mysql_error($con), E_USER_ERROR); 
echo"Thank you, you are now registered and can login on our homepage"; 
mysql_close($con); 
?> 

あなたはPHP（および一般的には、おそらくデータベース開発？）に新しいしていると言うので、私はまた、あなたが警戒する必要があり、なぜそれが何であるかを説明し、PHP tutorial on SQL injectionの方向にあなたをポイントしてみましょうたとえば、あなたのサンプルコードは脆弱です。アプリケーションは、現在非常にあることが

mysql_query($sql); 

大きな問題がある：

Answer 2

このコードは動作しないことの理由は、あなたが実際に問い合わせを行うmysql_queryへの呼び出しを持っていないということです$email、$nameまたは$passwordの妥当性をチェックしていないため、悪意のあるユーザーがデータベースに簡単に迷惑をかける可能性があります。少なくとも、mysql_real_escape_stringを使用してエスケープしてください。好ましくは、PDOなどのライブラリを使用して、サイトのセキュリティを確保してください。