Error: You have an error in your SQL syntax; check the manual that corresponds t

[咸寒少]

Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘@qq.com,Sukanu,test6666,,0,e0138398ab2acec0073e5ba8100a62ad)’ at line 1

关于这个错误 好像说我的这一句

$reg_sql = "INSERT INTO user (user_mail, user_name, user_passwd,user_invite_code,user_mail_status,user_token) VALUES (" . $post['mail'] . "," . $post['name'] . "," . $post['passwd'] . "," . $post['invite_code'] . ",0,$md5)";

存在问题 但是我不明白这句哪里出错

另外 像这样有多个参数的sql语句 如果不用拼接字符串的方式，还有哪些方式来避免sql注入？

[孙锡源]

SQL 语句中的值应该用单引号包裹。而且你这么写会被 SQL 注入的。

在 WordPress 中你可以使用 $wpdb 的 prepare 方法来格式化 SQL，具体用法百度搜一下，有很多教程。

[咸寒少]

这个并不是wordpress 如何避免注入

[孙锡源]

所以你具体使用的是什么？

如果是原生 PHP 纯手敲的话可以使用 MySQLi 的 prepare 方法。

如果是使用了框架的话，几乎可以说 100% 有自带的格式化方法。百度搜一下应该很容易搜到。

[咸寒少]

原生手敲如何避免安全问题 不局限于sql

[孙锡源]

这个话题太庞大了，足够写一本书了。

以下是一个简要的说明：

https://www.cloudways.com/blog/php-security/

[作者]

帖子