php + mysqlのデータベースに変数を挿入する

Question

私はまったくPHPの初心者です。PHPとMySQLのデータベースに変数を挿入しようとしています。 これは私のコードです：

$link = mysql_connect('localhost','','','onlynews') or die('Cannot connect to the DB'); 
mysql_select_db('TEST',$link) or die('Cannot select the DB'); 

$strSQL = "INSERT INTO news(id, title,photo,url,source, at) VALUES('$x','$title','$url','$imgurl ','$source','$at')"; 

mysql_query($strSQL) or die(mysql_error()); 

問題は、それはやっていないです。何も！エントリはまったくありません。データベースに変更はありません。

- これはどのように修正できますか？

- 変数がユーザーからではなくAPIからのものであっても、SQLインジェクションを防ぐコードを記述する必要がありますか？

Answer 1

$conn->query($sql);を使用してクエリを実行する必要があります。

しかし、SQLインジェクションを避けるには、prepared statementsまたは少なくとも$conn->real_escape_string()を使用してSQL文の値をエスケープする必要があります。

例えば、これは、プリペアドステートメントを使用してコードです：

$servername = "localhost"; 
$username = ""; 
$password = ""; 
$dbname = "onlynews"; 
$tableName = "news"; 
$conn = new mysqli($servername, $username, $password, $dbname); 
$stmt = $conn->prepare("INSERT INTO news (id, title, photo, url, source, at) 
         VALUES (?, ?, ?, ?, ?, ?)"); 
$stmt->bind_param('ssssss', $thetitle, $urlToImage, $theurl, $thesource, $thetime); 
$stmt->execute(); 
$stmt->close(); 

$conn->prepare()と$stmt->execute()が失敗（とfalseを返す）ことがあるのであなたはまた、いくつかのエラーチェックを追加する必要があります。もちろん、$connの構築中にデータベースへの接続を確立することもできません。これは、$conn->connect_errorを使用して確認できます。