Member 13985557 Ответов: 4

Предупреждение: mysqli_error() ожидает ровно 1 параметр, заданный 0


Пожалуйста, любезно помогите мне заглянуть в код ниже
<?php 
include("includes/dbconnet.php");
$name=$_POST['name'];
$email=$_POST['email'];
$telephone=$_POST['telephone'];
$subject=$_POST['subject'];
$mesg=$_POST['mesg'];
$sql="INSERT INTO pract SET name='$name',
email='$email',
telephone='$telephone',
subject='$subject',
mesg='$mesg'";
$result=mysqli_query($conn,$sql) or die (mysqli_error());
if($result==true)
{
header('location:index.php?success');

}
else
{
echo "Error";
}
?>

<?php 
$conn = mysqli_connect('localhost','root','') or die(mysqli_error());
/*Select Database*/
$select_db = mysqli_select_db($conn,'practise') or die(mysqli_error());
?>

Ошибка, которую я получаю "предупреждение: mysqli_error() ожидает ровно 1 параметр,

Что я уже пробовал:

Я попытался устранить неполадки и заглянуть в свое соединение с базой данных, но не смог его получить
Пожалуйста, любезно помогите устранить ошибку

4 Ответов

Рейтинг:
2

Patrice T

$sql="INSERT INTO pract SET name='$name', email='$email',
telephone='$telephone', subject='$subject', mesg='$mesg'";

Не обязательно решение вашего вопроса, но у вас есть еще одна проблема.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]


Рейтинг:
2

OriginalGriff

Проблема в том, что вам нужно предоставить соединение для функции, чтобы сделать что-нибудь: PHP mysqli_error() функция[^]

И пока мы здесь ...
Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу"
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

[править]опечатки.[/редактировать]


Рейтинг:
2

Member 14690503

измените mysqli_connect на mysqli_connect_error();


Рейтинг:
0

Richard MacCutchan

Видеть PHP: mysqli::$error - Manual[^].