Как победить ошибку «You have an error in your SQL syntax» в MySQL?

Question

[Петр Волханов]

<?php
	// Если нажали кнопку "Сохранить"
	if (isset($_POST['save'])) {
		$title = $_POST['title'];
		$description = $_POST['description'];
		$description1 = $_POST['description1'];
		$keywords = $_POST['keywords'];
		$price = $_POST['price'];
		$cost = $_POST['cost'];
		$quantity = $_POST['quantity'];
		$cnc = $_POST['cnc'];
		$text = $_POST['text'];
		$category = intval($_POST['category']);
		$images = $_POST['image'];

		$query = "UPDATE products SET title = $title, description = $description, description1 = $description1, keywords = $keywords,
										price = $price, cost = $cost, quantity = $quantity, cnc = $cnc, `text` = $text, category = $category WHERE id = $id";
		$result = mysql_query($query) or die(mysql_error());
	}

?>

Когда выкладываю этот код - возникает вот такая ошибка MySQL:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ПОСТЕЛЬНОГО БЕЛЬЯ № 01, description = Материал: бяз' at line 1

В чем проблема?

Answer 1

[Rsa97]

1. Не используйте mysql_, он в статусе depricated. Используйте mysqli или PDO.
2. Любые строки в запросе SQL должны быть взяты в кавычки. Вы пытаетесь сравнить колонку `title` с колонкой `ПОСТЕЛЬНОГО`.
3. Не используйте запросы, собранные из переданных извне строк. Что будет, если в $_POST['title'] передать строку "';DROP TABLE products;--"? Вместо этого используйте параметризацию запросов через bind_param.
4. Не ленитесь читать вопросы, которые задавали до вас. Точно такой же вопрос был всего пару часов назад.

Answer 2

[Станислав Скобелькин]

Ошибка в MySQL и PHP

Answer 3

[IntenT]

в кавычках

Comments

[Петр Волханов]

$query = "UPDATE products SET `title` = '$title', `description` = '$description', `description1` = '$description1', `keywords` = '$keywords',
`price` = '$price', `cost` = '$cost', `quantity` = '$quantity', `cnc` = '$cnc', `text` = '$text', `category` = '$category' WHERE id = $id";
$result = mysql_query($query) or die(mysql_error());

Вот так не работает(((

[Rsa97]

`price`, `cost`, `quantity` тоже текстовые поля? И в каком месте теперь ошибка?

Answer 4

[Владлен Грачев]

Что касается самого вопроса, надо бы все передаваемые значения в кавычки взять.
Что могу еще добавить — переходите хотя бы на mysqli. mysql-функции в PHP уже давно deprecated.

Comments

[Петр Волханов]

$query = "UPDATE products SET `title` = '$title', `description` = '$description', `description1` = '$description1', `keywords` = '$keywords',
`price` = '$price', `cost` = '$cost', `quantity` = '$quantity', `cnc` = '$cnc', `text` = '$text', `category` = '$category' WHERE id = $id";
$result = mysql_query($query) or die(mysql_error());

Вот так не работает, кавычки не правильные использую?

[charon]

а какую ошибку теперь выдаёт?