Bạn không bao giờ nên chỉ " nhập nội dung chính xác của $_POST['...'] "vào bất kỳ trường cơ sở dữ liệu nào:đó là một cánh cửa mở ra cho SQL Injjection.
Thay vào đó, bạn phải đảm bảo dữ liệu bạn đưa vào các truy vấn SQL của mình thực sự hợp lệ, theo kiểu dữ liệu DB mong đợi.
Đối với số thập phân, một giải pháp, về phía PHP, sẽ là sử dụng floatval chức năng:
$clean_price = floatval($_POST['price']);
$query = "insert into your_table (price, ...) values ($clean_price, ...)"
if (mysql_query($query)) {
// success
} else {
echo mysql_error(); // To help, while testing
}
Lưu ý rằng tôi không đặt bất kỳ dấu ngoặc kép nào bao quanh giá trị;-)
