为什么这段代码会使我的页面空白?

时间:2014-09-29 20:03:05

标签: php

我的页面工作正常,直到我添加了这段代码,我无法弄清楚它有什么问题。

<?
if (isset($_POST['credclick'])){ 
$amount=$_POST['credits']
mysql_query("UPDATE users SET points = points+".$amount." WHERE id = '".$username."'");
echo"<p>Credits Added</p>";
}
?>

$ username是从页面顶部的会话中定义的。

$username=$_SESSION['username'];

1 个答案:

答案 0 :(得分:4)

语法错误可能: 在$amount=$_POST['credits']的末尾添加一个分号以表示结束语。

$amount=$_POST['credits']更改为$amount=$_POST['credits'];

正如其他人所指出的,你很容易受到恶意sql注入,所以为了解决这个问题,a)停止使用mysql_并使用PDOmysqli_或者至少消毒你的陈述如下:

$amount = htmlentities($_POST['credits'], ENT_QUOTES);$amount = mysql_real_escape_string($_POST['credits']);

但最佳做法是切换数据库连接类型。

相关问题
最新问题