PHP+ SQL запрос

@Esso11 · Регистрация: 20.08.2017

Студворк — интернет-сервис помощи студентам

Подскажите где я нарушил синтаксис имеется такой кусок кода:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<?php
echo '<form action="index.php?page=4"
 method="post"
 enctype="multipart/form-data"
 class="input-group">';
echo '<select name="hotelid">';
$sel=<<<SQL
select ho.id, co.country,ci.city,ho.hotel
from countries co,cities ci, hotels ho
where co.id=ho.countryid and ci.id=ho.cityid
order by co.country;
SQL;
$res=$DB->query($sel);
while($row=$res->fecth(PDO::FETCH_NUM)){
echo '<option value="'.$row[0].'">';
echo $row[1].'&nbsp;&nbsp;'.$row[2].'&nbsp;&nbsp;'.$row[3].'</option>';
}
$ans=$DB->query($res);
echo '<input type="file" name="file[]" multiple
 accept="image/*">';
echo '<input type="submit" name="addimage"
 value="Add"
class="btn btn-sm btn-info">';
echo '</select>';
echo '</form>';
if(isset($_REQUEST['addimage'])){
foreach($_FILES['file']['name'] as $k => $v)
{
if($_FILES['file']['error'][$k] !=0){
echo '<script>alert("Upload file error:'.$v.'")</script>';
continue;
 }
if(move_uploaded_file($_FILES['file']
['tmp_name'][$k],'images/'.$v)){
$ins=<<<SQL
insert into images(hotelid,imagepath) values(".$_REQUEST['hotelid'].',"images/'.$v.'");
SQL;
$ans=$DB->query($ins);
 }
 }
}
echo '</div>';
?>

в строке

SQL
1
2
3
$ins=<<<SQL
INSERT INTO images(hotelid,imagepath) VALUES(".$_REQUEST['hotelid'].',"images/'.$v.'");
SQL;

пишет синтаксическая ошибка

@ft4l · 29.08.2019, 12:00

PHP
1
2
3
$ins=<<<SQL
INSERT INTO images(hotelid,imagepath) VALUES('{$_REQUEST['hotelid']}',"images/$v");
SQL;

В heredoc-стрках переменные просто интерполируются, так-же как в "строках в двойных кавычках"
Без заключения $_REQUEST['hotelid'] в фигурные скобки интерполируется только $_REQUEST

Замечание:
Переменные в массиве $_REQUEST передаются в скрипт посредством методов GET, POST или COOKIE, поэтому им нельзя доверять, т.к. они могли быть изменены удаленным пользователем. Их наличие и порядок добавления данных в соответствующие массивы определяется директивой конфигурации variables_order.

Нужна фильтрация значений принимаемых со стороны, и экранирование символов как минимум ' читайте про sql-инъекции

@Пифагор · 29.08.2019, 12:03

PHP
1
"INSERT INTO images(hotelid, imagepath) VALUES('{$_REQUEST['hotelid']}', 'images/$v')";

Возможно, потребуется конкатенация в images/$v.

Добавлено через 2 минуты

Сообщение от Esso11

пишет синтаксическая ошибка

они легко определяются, главное - правильно прочесть.

@ft4l · 29.08.2019, 12:04

Сообщение от ft4l

"https://www.cyberforum.ru/images/$v"

форум заменяет строку images/ в двойных кавычках...

Новые блоги и статьи Все статьи Все блоги /
Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Programma_Boinc 01.01.2026 Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .
Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .