首先,切勿使用
SELECt *某些代码:如果表结构发生更改(永远不要说从不),它将(但或必须维护此应用程序的人)咬住您。
您可以考虑使用直接
INSERT从其值中获取值的
SELECT:
"INSERT INTO admin(userID, forename, ..., `password`, ...) SELECT userID, forename, ..., `password`, ... FROM jobseeker WHERe userID = ..."
您不必通过PHP来执行此操作。
(使用上面的示例(
mysql_real_escape_string在此答案的早期版本中依赖此示例而道歉。)使用
mysql_real_escape_string它不是一个好主意,尽管它可能比直接将参数直接放入查询字符串要好一些。)
我不确定您使用的是哪个MySQL引擎,但是您也应该考虑在单个事务中执行这些语句(您将需要InnoDB而不是MyISAM)。
另外,我建议使用
mysqli和准备好的语句来绑定参数:这是一种更干净的方法,不必转义输入值(以避免SQL注入攻击)。
编辑2:
(如果启用了魔术引号,则可能要关闭它们。)
$userID = $_GET['userID'];// Put the right connection parameters$mysqli = new mysqli("localhost", "user", "password", "db");if (mysqli_connect_errno()) { printf("Connect failed: %sn", mysqli_connect_error()); exit();}// Use InnoDB for your MySQL DB for this, not MyISAM.$mysqli->autocommit(FALSE);$query = "INSERT INTO admin(`userID`, `forename`, `surname`, `salt`, `password`, `profilePicture`)" ." SELECt `userID`, `forename`, `surname`, `salt`, `password`, `profilePicture` " ." FROM jobseeker WHERe userID=?";if ($stmt = $mysqli->prepare($query)) { $stmt->bind_param('i', (int) $userID); $stmt->execute(); $stmt->close();} else { die($mysqli->error);}$query = "UPDATe user SET userType = 'admin' WHERe userID=?";if ($stmt = $mysqli->prepare($query)) { $stmt->bind_param('i', (int) $userID); $stmt->execute(); $stmt->close();} else { die($mysqli->error);}$query = "DELETE FROM jobseeker WHERe userID=?";if ($stmt = $mysqli->prepare($query)) { $stmt->bind_param('i', (int) $userID); $stmt->execute(); $stmt->close();} else { die($mysqli->error);}$mysqli->commit();$mysqli->close();编辑3:
我还没有意识到您
userID是一个int(但是这可能是因为您已经说过它在注释中自动增加了):将其转换为int和/或不将其用作字符串(即带引号)
WHEReuserID = '$userID'(但同样,永远不要将变量直接插入查询中,无论是从数据库中读取还是从请求参数中读取)。
