U moet de string uitbreken om deze samen te voegen met de $_GET
variabelen.
mysqli_query($db,"INSERT INTO jliu VALUES(null,".$_GET['title'].",".$_GET['fname'].",".$_GET['lname'].",".$_GET['description'].")");
Maar eigenlijk zou je moeten kijken naar voorbereide verklaringen om het gapende beveiligingslek met SQL-injectie hierboven te vermijden.
Met voorbereide verklaringen zou je de $_GET
. binden variabelen toe aan de parameters in de query.
$stmt = mysqli_prepare($db,"INSERT INTO jliu VALUES(null, ?, ?, ?, ?");
mysqli_stmt_bind_param($stmt, "s", $_GET['title']);
...
// and the same for the others
Er is wat meer detail in de gekoppelde man-pagina over hoe de voorbereide instructie moet worden uitgevoerd en het resultaat moet worden geretourneerd.