php - 从 paypal 付款返回站点期间 mysql 插入查询的问题

Question

我在调试我构建的站点的过程中卡住了，我需要一些帮助。

该网站是一个固定价格的工作(类似于 fiverr)网站。因此，“买家”从“卖家”那里购买一份工作并在线支付金额。这笔钱暂时留在网站的 Paypal 账户中。因此，当工作完成后，卖家可以“提取”款项，管理员必须将款项转入卖家的 paypal 账户。

以下是我以管理员身份完成“转移”过程到卖家的 Paypal 账户并使用“返回商户” Paypal 按钮返回网站后在浏览器中收到的消息。

这个 sql 查询可能有什么问题？

CHECK_QUERY insert into `ninerr_admin_order_payment` 

(`order_status_date`,`mc_gross`,`protection_eligibility`,`address_status`,`payer_id`,`tax`,`address_street`,`payment_date`,`payment_status`,`charset`,`address_zip`,`first_name`,`address_country_code`,`address_name`,`notify_version`,`custom`,`payer_status`,`business`,`address_country`,`address_city`,`quantity`,`payer_email`,`verify_sign`,`txn_id`,`payment_type`,`payer_business_name`,`last_name`,`address_state`,`receiver_email`,`receiver_id`,`pending_reason`,`txn_type`,`item_name`,`mc_currency`,`item_number`,`residence_country`,`test_ipn`,`transaction_subject`,`handling_amount`,`payment_gross`,`shipping`,`merchant_return_link`)

VALUES ('2011:03:22','4.00','Ineligible','confirmed','7BV3JALNZYV2W','0.00','1 Main St','12:26:51 Mar 22, 2011 PDT','Pending','windows-1252','95131','Panayiotis','US','Panayiotis Kolevris's Test Store','3.1','','unverified','panayk_1299455633_per@otenet.gr','United States','San Jose','1','panayk_1299526871_biz@otenet.gr','AFcWxV21C7fd0v3bYYYRCpSSRl31AIaMVYBqWOK51ttsVWF3i1gzorhH','9E090982RT6501508','instant','Panayiotis Kolevris's Test Store','Kolevris','CA','panayk_1299455633_per@otenet.gr','DC4DA8HA7Y4U2','verify','web_accept','Withdraw','EUR','1','US','1','Withdraw','0.00','','0.00','Return to Merchant')

产生以上结果的动态代码是这样的:

function dataInsert($table,$dataArray){

 $fldArray=$dataArray;

    $i=0;

    $j=0;

    $sql.="insert into `".$table."` (";

    while (list($key1, $value1) = each ($fldArray)) {

        $sql.="`".$key1."`";

        $j++;

        if($j!=count($fldArray)){

        $sql.=",";

        }

        if($j==count($fldArray)){

        $sql.=") VALUES (";

        }

    }



        while (list($key1, $value1) = each ($dataArray)) {

        $sql.="'".$value1."'";

        $i++;

        if($i!=count($dataArray)){

            $sql.=",";

        }

        if($i==count($dataArray)){

        $sql.=")";

        }

    }

mysql_query($sql) or die(CHECK_QUERY.$sql);

$id=mysql_insert_id();

return $id;

}

提前致谢

Answer 1

由于对数据的引用，您在 INSERT INTO 上出错:

'Panayiotis Kolevris 的测试店'

要修复它，请尝试添加 mysql_escape_string( ):

while (list($key1, $value1) = each ($dataArray)) {
  $sql.= mysql_escape_string( $value1 );
  $i++;
if($i!=count($dataArray)){
  $sql.=",";
}
if($i==count($dataArray)){
  $sql.=")";
}

更新:

虽然，$dataArray 上的数据似乎已经用引号 (') 括起来了。因此，在将数据填充到 $dataArray 之前，您必须对其进行转义。