「$_POST['...']
の正確な内容を入力するだけではいけません。 "任意のデータベースフィールドに:SQLインジェクションへの扉が開かれました。
代わりに、予想されるDBデータ型に従って、SQLクエリに挿入するデータが実際に有効であることを確認する必要があります。
小数の場合、PHP側での解決策は、floatval
を使用することです。 関数:
$clean_price = floatval($_POST['price']);
$query = "insert into your_table (price, ...) values ($clean_price, ...)"
if (mysql_query($query)) {
// success
} else {
echo mysql_error(); // To help, while testing
}
値の前後に引用符を付けていないことに注意してください;-)