php - 拖放排序到 MySQL 中的 INSERT

Question

我正在使用 PHP MySQL 显示数据库中的可排序列表。

<?php                           
     $query  = "SELECT * FROM question_four ORDER BY recordListingID ASC";
     $result = mysql_query( $query );           
     while( $row = mysql_fetch_array( $result, MYSQL_ASSOC ) ) {
?>
        <li id="recordsArray_<?php echo $row['recordID']; ?>"><?php echo $row['recordText']; ?></li>
<?php 
     } 
?>

我没有更新同一个表，而是尝试使用以下代码将其插入到新表中:

$action = mysql_real_escape_string($_POST['action']);
$updateRecordsArray = $_POST['recordsArray'];
if ( $action == "updateRecordsListings" ) {
    $listingCounter = 1;
    foreach ( $updateRecordsArray as $recordIDValue ) {
        $query1 = "INSERT into answers_questionfour(id,recordListingID,recordID,recordText) values ('.$user_fbid.','.$listingCounter.', '.$recordIDValue.','.$recordText.')";
        mysql_query( $query1 ) or die('Error, insert query failed');
        $listingCounter = $listingCounter + 1;
    }
}

但是，现在，它仅为一个用户插入。当其他用户尝试提交他们的排序列表时。它不会添加到表中。你能帮我弄清楚吗？谢谢

Answer 1

迪内什关于安全问题的看法当然是正确的。但无论如何，您都需要用引号 (') 将数据值(尤其是字符串类型!)括起来，但省略连接运算符 (.) 因为整个 sql 字符串已经包含在 ":

中

 $sql="INSERT into answers_questionfour(id,recordListingID,recordID,recordText) 
   values ('$user_fbid','$listingCounter', '$recordIDValue','$recordText')"

在 PDO 语法中，这将是

$sql="INSERT into answers_questionfour(id,recordListingID,recordID,recordText) 
   values (?,?,?,?)";
$sth = $dbh->prepare($sql);
$sth->execute(array($user_fbid,$listingCounter, $recordIDValue,$recordText));

其中 $dbh 是分配给 PDO 对象的数据库处理程序。