Я могу использовать $variable там $strSQL = "SELECT * FROM $person";
Но я не могу использовать $variable там $sql = "INSERT INTO $person . . .
`$person`
Тоже не работай...
Какая разница? И как я могу использовать $variable вместо имени таблицы (INSERT INTO table_name)
$sql = 'INSERT INTO $person (date, min, sec, count, temp, universal)
VALUES("'.$date.'", "'.$min.'", "'.$sec.'", "'.$count.'", "'.$temp.'", "'.$universal.'")';
if(!mysql_query($sql))
{echo '<center><p><b>ERROR!</b></p></center>';}
else
{echo '<center><p><b>Its okay</b></p></center>';}
}
Решение:
mysql_query("INSERT INTO $person (date, min, sec, count, temp, universal) VALUES('$date', '$min', '$sec', '$count', '$temp', '$universal')") or die(mysql_error());
$_GET
,$_POST
и т. д., то в этом коде есть уязвимости SQL-инъекций. Немного беспокоит, что из всех пользователей ниже, которые помогли, ни один не упомянул об этом. - person halfer   schedule 07.03.2015