Как вставить переменные в sql запрос на PHP?

Question

[Twelfth Doctor]

Здравствуйте. Подскажите, правильно ли оформлен INSERT-запрос:

$connect->query("INSERT INTO vhosts (mainname,login,email,index,charset) VALUES ({$mainname} , {$login} , {$email}, {$index} , {$charset})");

Answer 1

[Кирилл Нетёсин]

VALUES ({$mainname} , {$login} , {$email}, {$index} , {$charset}

дословно засылая строки т.е - VALUES (string , string , string, string , string)
вы получаете ошибку т.к строки надо обрамлять в кавычки т.е хотя бы так:

$connect->query("INSERT INTO vhosts (mainname,login,email,index,charset) VALUES ('{$mainname}', '{$login}', '{$email}', '{$index}' , '{$charset}')");

(допустим index - строка, в коде у вас наверняка нет явной типизации, если вдруг есть то можно {$index} не обрамлять)

не говоря уже о потенциальных sql инъекциях :)

Answer 2

[krypt3r]

Что за двоечники тут отвечают?
Для ТС. Вам нужно изучить PDO и prepared statements. Тогда у вас в коде будет нечто такое:

$pdo->prepare("INSERT INTO vhosts (mainname,login,email,index,charset) VALUES (:mainname , :login , :email, :index , :charset)");
$pdo->execute([':mainname' => $mainname , ':login' => $login , ':email' => $email, ':index' => $index , ':charset' => $charset]);

Comments

[Кирилл Нетёсин]

двоечники? ТС НЕ просил совета как это лучше реализовать, он спросил правильно ли составлен запрос.
вы же дали ему совет из серии забудь всё что знал, перепиши пол проекта(вполне вероятно) но юзай pdo

p.s все через это проходили, подойдет и к pdo ;)