各位大大安安
小弟目前正在做專題
這邊有一個問題不太懂
所以上來請教一下
我想做一個可以新增 修改 刪除 查詢的後台管理系統
目前做到只剩修改了
但是 怎麼改都失敗
以下是我們的程式碼
<?php
$dbhost = '127.0.0.1';
$dbuser = 'root';
$dbpass = 'admin123';
$dbname = 'doc';
$conn = mysql_connect($dbhost, $dbuser,$dbpass) or die('Error with MySQL
connection');
$name =$_REQUEST['name'];
$birthday = $_REQUEST['birthday'];
$address = $_REQUEST['address'];
$sex = $_REQUEST['sex'];
$phonenumber = $_REQUEST['phonenumber'];
$bookday = $_REQUEST['bookday'];
mysql_query("SET NAMES utf8");
mysql_select_db($dbname);
$sql_update = ("Update sicker SET name = '$name' WHERE id ='$id'");
$result=mysql_query($sql_update,$conn);
header('location:home.php');
?>

name是特殊字說錯，是保留字

在mysql中用name並不會無法使用，頂多擔心的包個``就好個人建議把字串顯示到mysql執行，看是不是跳脫字元之類的

另外... 這寫法各種危險啊(默...

$id是空的

建議消毒在進sql哦 ！另外你說的失敗是什麼失敗？有錯誤訊息嗎還是單純沒改值 ？還是值變空的 ？

他是寫ERROR沒改值然後ERROR

一眼就看出你的 id 根本沒處理..

抓到了 是SQL injection

字串外面再加個括號是哪招

不建議使用$_REQUEST，是POST還是GET要定義清楚。還有你參考的書的範例很舊很舊了吧。

不好意思 那要怎麼處理id?

#1JZBTNXO，從 escape 那邊看起學習中的話...其實先會動就好也可以啦 XD但如果是要公開給人家用的，這就有機會變成大問題另，等跟 PHP 熟了，建議用 PDO 跟 prepared statementPHP 官方已經把 mysql_* 系列函式標為「將來有天會移掉」

你id當然要傳進來阿 有傳了就要收 就這麼簡單這裡沒看到你在任何地方接收$id 你想他內容會是什麼

觀念問題基礎不夠清楚 你把你的sql句子印在網頁上面看看長怎樣子