我有一个<form>，我在INSERT INTO查询中发布，我需要能够在查询中嵌套查询？

My question is pretty confusing but here we go. I a that i am using to post data into the 'blogposts' table. My problem arises for the last value of the query to be inserted is a picture(BLOB). This data needs to be pulled from the users profile aka(another table). So my question is, is there any way to have a SUBQUERY inside of the VALUES() statement in SQL to grab the profile pic of the account user?

Here is my code of the query that does not work:

<?php
    require_once('startsession.php');
    require_once('appvars.php');
    require_once('connectvars.php');

    $con=mysqli_connect(DB_HOST,DB_USER,DB_PASSWORD,DB_NAME);
    // Check connection
    if (mysqli_connect_errno())
      {
      echo "Failed to connect to MySQL: " . mysqli_connect_error();
      }

    $sql="INSERT INTO blogposts (name, subject, message, post_time, profPic)
    VALUES
    ('$_SESSION[username]','$_POST[subject]','$_POST[message]',current_timestamp,IN(SELECT picture
                                                                                    FROM player
                                                                                    WHERE user_id
                                                                                    EQUALS" . $_SESSION['user_id'] . ")";

    if (!mysqli_query($con,$sql))
      {
      die('Error: ' . mysqli_error($con));
      }
    echo "1 record added";

    mysqli_close($con);
    $page='index.php';
    header('Location:'.$page);
?>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douren4075 2013-07-01 01:51
关注
$username = mysqli_real_escape_string($con,$_SESSION['username']); $userid = mysqli_real_escape_string($con,$_SESSION['userid']); $subject= mysqli_real_escape_string($con,$_POST['subject']); $message= mysqli_real_escape_string($con,$_POST['message']); $sql="INSERT INTO blogposts (name,subject,message,post_time,profPic) SELECT '$username', '$subject', '$message', CURRENT_TIMESTAMP, picture FROM player WHERE user_id = '$user_id';"; $result = mysqli_query($con,$sql);

As mentioned in the comments, look into SQL Injection and the mysqli_real_escape_string function (http://php.net/manual/en/mysqli.real-escape-string.php)

EDIT: updated to include procedural style escape string and correct syntax
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

如何在Contact Form 7中添加一个类来选择元素<option>标签？ html php
2014-02-24 09:58

回答 3 已采纳 Just add this jquery: http://jsfiddle.net/rvpatel/7wa3V/ $( "#cd-dropdown option" ).addClass(
如何在点击一个<div>时去执行一个javascript里的函数？ javascript
2018-05-18 10:43

回答 9 已采纳被action给干扰了
flask request怎么获取html的<select><option>中的内容 python 有问必答
2021-06-02 19:55

回答 3 已采纳 def fbdt(request): types = ContsType.objects.all() if request.method == 'POST': # 'op
mysql查询值保存到变量中,如何将sql查询中的值存储到变量中？
2021-01-19 11:21

商业观察家的博客 $resourcesbuilt = mysql_query("SELECT resourcesbuilt FROM user WHERE username = '$username' LIMIT 1");...=0 ){mysql_query("INSERT INTO resources (username, dollars) VALUES ( '$user...
我的INSERT INTO查询无效 html mysql php
2016-09-25 16:54

回答 1 已采纳 Your insert query parameter is incorrect. :$title for example will expand to :"whatever the user
在超链接<a>的href或<form>的action中可以使用“JSP表达式”语法吗 java
2016-04-25 09:01

回答 3 已采纳用这个${pageContext.request.contextPath}替代你写的jsp脚本
从一个查询中选择id并在另一个查询中使用它 mysql php
2015-12-30 15:12

回答 5 已采纳 With respect to the sql, perhaps this might work SELECT `pid`, `project_name`, `image`, `image_ty
mysql查询年龄不在20到23的学生_数据库笔试题
2021-02-05 09:57

时机-稍纵即逝的博客 1. 新建学生-课程数据库的三个表:学生表:Student(Sno,Sname,Ssex,Sage,Sdept) Sno为主码;课程表:Course(Cno,Cname,Cpno,Credeit) Cno为主码;学生选修表:SC(Sno,Cno,Grade) Sno,Cno,为主码;Student学号(Sno)姓名 ...
v-model的值怎么实现字符拼接？或者怎么在对象中定义一个数组？ javascript vue.js 前端
2022-04-14 11:47

回答 2 已采纳看了一下你的代码，我理解的是，你想有个添加按钮，点一次，加一道空的题目，题目里可以输入标题，和四个选项，如果我没理解的错的话，首先，我觉得，你要想清楚你的数据结构是怎么样的，是是否是类似于 one
我想在一个列中使用单个主键在数据库中插入多个数据 php sql
2019-02-13 10:06

回答 3 已采纳 I had same isssue while making API for PHP. Try this , declare your Item name , quanity and date
html中如何在输入框里输入条件，对表格里的数据进行查询，点击查询并显示具体信息 css elementui javascript
2022-04-13 16:49

回答 2 已采纳 let tableData = [ { id: 1, name: '小明' }, { id: 2, name: '小明' }, { id: 3, name: '小明' } ] tableData
在VFP里玩SQL查询
2022-05-25 22:49

howard2005的博客利用SQL创建表、利用SQL修改表结构、利用SQL修改表记录、利用SQL查询表记录（排序、汇总）
将<form>插入正确的位置 html php
2016-10-30 06:53

回答 1 已采纳 You have a few issues going on here. You should not be mixing database libraries (PDO and mysql_).
常用mysql嵌套_数据库中常用的嵌套查询
2021-01-19 11:37

jeremymoo的博客展开全部1、说明：复制表(只复制结构,源表名：a 新表名：b) (Access可用)法一：select * into b from a where 1<>1(仅用于SQlServer)法二：e69da5e887aa3231313335323631343130323136353331333332633065select...
python中列表的嵌套是指列表的元素是另一个列表_列表的嵌套指的是一个列表的元素是另一个列表...
2020-12-10 00:45

weixin_39874589的博客【填空题】在列表中查找元素时可以使用____和in运算符 (5.0分) 【单选题】下列选项中,正确定义了一个字典的是() (3.0分) 【单选题】下列删除列表中最后一个元素的函数是() (3.0分) 【单选题】打开Excel2000;...
没有解决我的问题, 去提问

悬赏问题

¥15 关于smbclient 库的使用
¥15 微信小程序协议怎么写
¥15 c语言怎么用printf（“\b \b”）与getch（）实现黑框里写入与删除？
¥20 怎么用dlib库的算法识别小麦病虫害
¥15 华为ensp模拟器中S5700交换机在配置过程中老是反复重启
¥15 java写代码遇到问题，求帮助
¥15 uniapp uview http 如何实现统一的请求异常信息提示？
¥15 有了解d3和topogram.js库的吗？有偿请教
¥100 任意维数的K均值聚类
¥15 stamps做sbas-insar，时序沉降图怎么画

我有一个<form>，我在INSERT INTO查询中发布，我需要能够在查询中嵌套查询？

1条回答 默认 最新

悬赏问题

1条回答默认最新