文字列を$_GET
と連結するには、文字列から抜け出す必要があります 変数。
mysqli_query($db,"INSERT INTO jliu VALUES(null,".$_GET['title'].",".$_GET['fname'].",".$_GET['lname'].",".$_GET['description'].")");
ただし、実際には、プリペアドステートメント を調べる必要があります。 上記のSQLインジェクションのセキュリティホールのギャップを回避するため。
プリペアドステートメントを使用すると、$_GET
をバインドすることになります クエリ内のパラメータへの変数。
$stmt = mysqli_prepare($db,"INSERT INTO jliu VALUES(null, ?, ?, ?, ?");
mysqli_stmt_bind_param($stmt, "s", $_GET['title']);
...
// and the same for the others
リンクされたマニュアルページには、プリペアドステートメントを実行して結果を返す方法に関する詳細があります。