$sql = "INSERT INTO users (username, password, email)
VALUES ('".$_POST["username"]."','".$_POST["password"]."','".$_POST["email"]."')";
它不执行查询。为此,您需要使用一些功能,但让我先解释一下其他内容。
:永远不要将用户输入(例如来自$_GET
或的表单输入$_POST
) 附加到查询中。有人可以以这种方式小心地操作输入,以免对您的数据库造成严重损害。这就是所谓的sql注入。
为了保护您的脚本免受此类攻击,您 使用预处理语句。在这里更多关于准备好的陈述
$sql = "INSERT INTO users (username, password, email)
VALUES (?,?,?)";
请注意如何将?
用作值的占位符。接下来,您应该使用MysqLi_prepare
以下语句准备语句:
$stmt = MysqLi_prepare($sql);
然后开始将输入变量绑定到准备好的语句:
$stmt->bind_param("sss", $_POST['username'], $_POST['email'], $_POST['password']);
最后执行准备好的语句。(这是实际插入的地方)
$stmt->execute();
尽管不是问题的一部分,但我强烈建议您不要以明文形式存储密码。相反,您应该使用password_hash
存储密码的哈希值