OriginalGriff
Наверное, все дело в данных. Если какие - либо данные содержат символ кавычки - "свекла Мэри", возможно, - это завершит ввод, и оставшиеся данные будут использоваться в качестве инструкций SQL. Никогда не объединяйте строки для построения SQL-команды. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого используйте параметризованные запросы.
Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку с точки зрения SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x'; DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу"
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.
Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?
Видеть здесь:
РНР: Подготовленные инструкции и хранимые процедуры-руководство пользователя[
^]
Member 13435586
Сэр я использовал его как но он не работает когда я нажимаю кнопку обновления экран очищается
$stmt = $conn - & gt;prepare ("UPDATE spare_parts SET qty = ? Где id = ? ");
$stmt - > bindParam('ss', $qty,$id);
$stmt - & gt; выполнить();
$result = $stmt- & gt;get_result();
if ($result)
{
$msg = ' alert ("запись успешно обновлена");';
}