Beste Leden,

Ik heb de volgende code:

Code:

 $sql="INSERT INTO $tbl_name(name, email, comment, datetime)VALUES($name = $_POST['name'], $email = $_POST['email'], $comment = $_POST['comment'], '$datetime')";
$result=mysql_query($sql);

Deze geeft de volgende melding
Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING

Wat doe ik verkeerd?

$sql="INSERT INTO $tbl_name(name, email, comment, datetime)VALUES('".$_POST['name']."', '".$_POST['email']."','".$_POST['comment']."', '".$datetime."')"; $result=mysql_query($sql);

heel goed, als je niet weet wat je aan doen bent kan je het beter laten....

als je dit zo zou implementeren dan zal de boel open staan voor sql injecties...
Het probleem ligt bij de '$datetime'

Het zou op deze manier moeten werken:

PHP Code:

INSERT INTO $tbl_name(name, email, comment, datetime)VALUES($_POST['name'], $_POST['email'], $_POST['comment'], $datetime) 


Filter de post variabelen wel. Voorkom SQL injecties.

Ik raad je aan om met PDO te werken. Hier kan je er mee over lezen: http://php.net/manual/en/book.pdo.php
Hiermee kan je prepared statements gebruiken en is dus veiliger.

Zo dus:

PHP Code:

$stmt = $dbh->prepare("INSERT INTO table_name (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value); 


Hallo Ben,

Krijg helaas weer dezelfde melding, gehele code ziet er als volgt uit:

Code:

// Connect to server and select database.
mysql_connect("$host", "$username", "$password")or die("cannot connect server ");
mysql_select_db("$db_name")or die("cannot select DB");

$datetime=date("y-m-d h:i:s"); //date time

$sql="INSERT INTO $tbl_name(name, email, comment, datetime)VALUES($_POST['name'], $_POST['email'], $_POST['comment'], 

$datetime)";
$result=mysql_query($sql);

//check if query successful
if($result){
echo "Successful";
echo "<BR>";

// link to view guestbook page
echo "<a href='viewguestbook.php'>View guestbook</a>";
}

else {
echo "ERROR";
}

mysql_close();
?>

PS "Filter de post variabelen wel. Voorkom SQL injecties." Wat bedoel je hier precies mee?

Origineel gepost door ron dec

heel goed, als je niet weet wat je aan doen bent kan je het beter laten....

als je dit zo zou implementeren dan zal de boel open staan voor sql injecties...
Het probleem ligt bij de '$datetime'

Het is ook maar een werkende oplossing hé :-)

Origineel gepost door Miichelle G

Hallo Ben,

Krijg helaas weer dezelfde melding, gehele code ziet er als volgt uit:

Code:

// Connect to server and select database.
mysql_connect("$host", "$username", "$password")or die("cannot connect server ");
mysql_select_db("$db_name")or die("cannot select DB");

$datetime=date("y-m-d h:i:s"); //date time

$sql="INSERT INTO $tbl_name(name, email, comment, datetime)VALUES($_POST['name'], $_POST['email'], $_POST['comment'], 

$datetime)";
$result=mysql_query($sql);

//check if query successful
if($result){
echo "Successful";
echo "<BR>";

// link to view guestbook page
echo "<a href='viewguestbook.php'>View guestbook</a>";
}

else {
echo "ERROR";
}

mysql_close();
?>

PS "Filter de post variabelen wel. Voorkom SQL injecties." Wat bedoel je hier precies mee?

De "basis" van het werken met een database.
In feite verklaar jij je user input nu als veilig, iets wat je nooit mag doen.
Stel dat iemand nou in de "$_POST['comment']" iets zet als;

blaat ) drop table users --

(even simpel voorbeeld)

Dan kun je in feite alles doen.

Puur om je probleem op te lossen (ik ga verder niet in op de eerder genoemde veiligheid):

Je moet wel je variabele '$tbl_name' een waarde geven. Op dit moment voeg je een waarde in in een tabel zonder naam, iets wat niet kan. Geef eerst:


$tbl_name = 'TABELNAAM';

Dan zou ie moeten werken :)
Succes!

Tip: vervang $result=mysql_query($sql); met $result=mysql_query($sql) or die(mysql_error()); zodat je weet wat er fout gaat.
Tip: Gebruik PDO
Tip: Lees wat meer over veiligheid.

Arrays in double-quote strings worden niet automatisch vervangen in PHP:

PHP Code:

$sql="INSERT INTO $tbl_name (name, email, comment, datetime) VALUES ('{$_POST['name']}','{$_POST['email']}','{$_POST['comment']}','$datetime')"; 


Overigens, de code die je laat zien getuigd niet van ervaring. Daarom raad ik je ook ten strengste aan om sowieso te gaan werken met PDO. Het feit dat je mysql_* queries gebruikt is zeer onverstandig! Bovenstaande code werkt dan ook alleen als je de nodige maatregelen neemt om de ingestuurde waarden te controleren!

Zo werkt het bij mij:
$sql="INSERT INTO ".$tbl_name."('name', 'email', 'comment', 'datetime') VALUES ('".$_POST['name']."', '".$_POST['email']."', '".$_POST['comment']."', '".$datetime."')";$result=mysql_query($sql);

Helaas is het wel zo onveilig als het maar zijn kan..

Origineel gepost door Dennis Smink

Helaas is het wel zo onveilig als het maar zijn kan..

$sql="INSERT INTO ".$tbl_name."('name', 'email', 'comment', 'datetime') VALUES ('".mysql_real_escape_string($_POST['name'])."', '".mysql_real_escape_string($_POST['email'])."', '".mysql_real_escape_string($_POST['comment'])."', '".$datetime."')"; $result=mysql_query($sql);

Zo beter?

Hallo Michelle,

Is het ondertussen wel gelukt? Ik zag nog geen reactie van je staan dat het reeds gelukt is.

Indien het nog niet gelukt is, probeer dan het volgende eens:

PHP Code:

<?php
$name = $_POST['name'];$name = mysql_real_escape_string($name);
$email = $_POST['email'];$email = mysql_real_escape_string($email);
$comment = $_POST['comment'];$comment = mysql_real_escape_string($comment);
$datetime=date("y-m-d h:i:s");
mysql_query("INSERT INTO OnbekendeNamen (name, email, comment, datetime) VALUES ('$name', '$email', '$comment', '$datetime')")or die(mysql_error());
?>

Niks mis met Mysql_query op deze wijze:)

Je gebruikt e kolomnaam datetime dit is en reserveerd woord in MySQL dus even `datetime` voor je datetime zeten.
Tja en dat het niet veilig is weet je ondertussen.


Succes