Member 13299675 Ответов: 1

Я пытаюсь вставить данные в базу данных с помощью PHP и mysql, но мой запрос не выполняется

я пытаюсь вставить данные в базу данных с помощью php и mysql, но мой запрос не выполняется. я должен вставить данные в таблицу комментариев с помощью php и mysql вот мой код. если есть какие-то ошибки, пожалуйста, скажите мне.

<pre>if(isset($_POST['submit-comment']))
                {
                    $cs_name = $_POST['full-name'];
                    $cs_email = $_POST['email'];
                    $cs_website = $_POST['website'];
                    $cs_comment = $_POST['comment'];
                    $cs_date = time();
                    if(empty($cs_name) or empty($cs_email) or empty($cs_comment))
                    {
                        echo "<script type='text/javascript'>swal({   title: 'Opps!',   text: 'You Have To Fill All (*) Fields!',   imageUrl: 'images/info.png' });</script>";
                    }
                    else
                    {
                        $cs_query = "INSERT INTO `comments`(`id`, `date`, `name`, `username`, `post_id`, `email`, `website`, `image`, `comment`, `status`) VALUES (NULL,$cs_date,$cs_name,user,$post_id,$cs_email,$cs_website,NULL,$cs_comment,pending)";
                        $cs_run = mysql_query($cs_query);
                        if($cs_run)
                        {
                            echo "<script type='text/javascript>setTimeout(function () { swal('Good job!', 'Your Commnet Has Been Submited Waiting For Approvel!', 'success')}, 100);</script>";
                        }
                        else
                        {
                            echo "<script type='text/javascript'>swal({   title: 'Opps!',   text: 'Your Commnet Not has Been Submited!',   imageUrl: 'images/delete.png' });</script>";
                        }
                    }
                }
              ?>


Что я уже пробовал:

я пытался, но не получил желаемого ответа.

omerkamran

Я не вижу никакой связи с БД в вашем коде. Убедитесь, что вы подключаете свою БД перед выполнением любой операции SQL.

1 Ответов

Рейтинг:
1

Patrice T

Не решение вашего вопроса, а еще одна проблема, которая у вас есть.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь уязвимости под названием "SQL injection", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа рухнет. Если пользователь вводит имя типа "Брайан О'Коннер", это может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция-Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL Injection-руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL-OWASP[^]