セッション変数をMySQLデータベースに挿入

Question

こんにちは私はPHpを初めて使いました。データベースに詳細を入力しようとしています。私はeventnameを入力しようとしています - ユーザーが入力した（POST）とログインしたユーザーのユーザー名。

私は、ユーザーのユーザー名を格納するためのセッションを作成している私が持っているコードは

$eventname=$_POST['eventname']; 
$myusername = $_SESSION['myusername'] 

$sql = mysql_query("INSERT INTO $tbl_nameVALUES('','$eventname','$_SESSION['myusername'])"); 

echo "You have been added to the event"; 

そのエラーを与えている$ SQL文のですか？どんな助けでも大変に感謝します。

ありがとうございます！

Answer 1

ここにはいくつかの潜在的な問題があります。

最初に、eventnameをSQLインジェクションから逃しませんでした。うまくいけば、myusernameが既に安全であると考えています。以前にフィルタリングされていない場合は、$_SESSION['myusername']でmysql_real_escape_string()も使用してください。

$eventname = mysql_real_escape_string($_POST['eventname']); 

// Then you need space before VALUES and are missing a closing quote on $_SESSION['myusername'], which should be in {} 
$sql = mysql_query("INSERT INTO $tbl_name VALUES('','$eventname','{$_SESSION['myusername']}')"); 

最後に、ステートメントが動作するためには、それはあなたが$tbl_nameに正確に3つの列を前提としています。使用する列については明示的に指定する必要があります。 colname1, event_name, usernameの正しい列名に置き換えてください。 SQLの構文エラーの

$sql = mysql_query("INSERT INTO $tbl_name (colname1, event_name, username) VALUES('','$eventname','{$_SESSION['myusername']}')"); 

正確な位置はmysql_error()経由でチェックいくつかの基本的なエラーとのあなたに明らかにされます。

$sql = mysql_query(<your insert statement>); 
if (!$sql) { 
    echo mysql_error(); 
} 

Answer 2

$tbl_nameとVALUESの間にスペースが必要です。実際には、$_SESSION['myusername']の後に'のスペースが必要です。

そして、SQLインジェクションをルックアップします。

Answer 3

あなたのinsert文に'がありません。試してみてください

INSERT INTO $tbl_name VALUES('','$eventname','$_SESSION['myusername']') 

Answer 4

あなた$_SESSION配列のキーの周りの単一引用符を削除します。

$sql = mysql_query("INSERT INTO $tbl_name VALUES('', '$eventname', '$_SESSION[myusername])"); 

Answer 5

あなたは、エラーメッセージを与えた場合、それが最善だろう

$eventname=$_POST['eventname']; 
$myusername = $_SESSION['myusername']; 

$sql = mysql_query("INSERT INTO tbl_name VALUES('','$eventname','".$_SESSION['myusername'])."'"); 

echo "You have been added to the event";