आपको कभी भी "$_POST['...']
की सटीक सामग्री दर्ज नहीं करनी चाहिए "किसी भी डेटाबेस फ़ील्ड में:यह SQL इंजेक्शन के लिए खोला गया एक द्वार है।
इसके बजाय, आपको यह सुनिश्चित करना चाहिए कि अपेक्षित डीबी डेटाटाइप के अनुसार, आपके द्वारा अपने SQL प्रश्नों में डाला गया डेटा वास्तव में मान्य है।
दशमलवों के लिए, PHP पक्ष पर एक समाधान, floatval
का उपयोग करना होगा समारोह :
$clean_price = floatval($_POST['price']);
$query = "insert into your_table (price, ...) values ($clean_price, ...)"
if (mysql_query($query)) {
// success
} else {
echo mysql_error(); // To help, while testing
}
ध्यान दें कि मैंने मूल्य के आसपास कोई उद्धरण नहीं रखा है;-)