那些遇到过的问题

如何使我的变量安全地插入数据库?

hud*_*dds 0 php content-management-system

我有一个变量,我需要在插入我的数据库之前删除sybols,任何想法如何将mysql_real_escape_string()函数添加到我现有的代码?

表格页面

此页面是一个基本的html表单,显示数据库内容.

<?php 
 $query = sprintf( "SELECT * FROM sitecontent WHERE ID = $_GET[id]");
$result = mysql_query($query) or die (mysql_error());
$post = mysql_fetch_array($result);

   ?>

       <form action="editp.php" method="POST" name="editform">
    <label for="pName" style="padding:10px; ">Post Title</label>
    <input type="text" name="pName" style=" width:550px;border:#000099; margin:10px;"   value="<?php echo $post['Post_Title']; ?>"/>
    <label for="pCategory" style="padding:10px; ">Category</label>
    <input type="text" name="pCategory" style=" width:50px;border:#000099; margin:10px;" value="<?php echo $post['Post_Year']; ?>"/>
    <label for="pItem" style="padding:10px;">Item Type</label>
   <select name="pItem" style="border:#000099; margin:10px;">
    <option value="1">News</option>
   <option value="2">Review</option>
 </select>
 <label for="pName" style="padding:10px;">Article ID</label>
      <input type="text" name="pID" style="border:#000099; margin:10px;" value="<?php echo $post['ID']; ?>"/>
  <label for="pName" style="padding:10px;">Post Date</label>
   <input type="text"  name="pDate" style="border:#000099; margin:10px;" value="<?php echo $post['Date']; ?>">
   <label for="pName" style="padding:10px;">Post Author</label>
 <input type="text" name="pAuthor" style="border:#000099; margin:10px;" value="<?php echo $post['Post_Author']; ?>"/>
   <label for="pName" style="padding:10px;">Home Page</label>
  <select name="Page" style="border:#000099; margin:10px;">
  <option value="0">None</option>
  <option value="1">Home</option>
 </select>
 <label for="pPriority" style="padding:10px;">Home Priority</label>
   <select name="pPriority" style="border:#000099; margin:10px;">
 <option value="0">None</option>
  <option value="1">1</option>
  <option value="2">2</option>
  <option value="3">3</option>
  <option value="4">4</option>
  </select>
    <label for="pName" style="padding:10px;">Post Content</label>
  <textarea style="width:550px; height:200px;border:#000099; margin:10px;" type="text" name="pContent" id="pContent" value="<?php echo $post['Post_Content']; ?>"><?php echo $post['Post_Content']; ?></textarea>
    <span id="btnStrong" style="  padding: 2px 8px;background-color:#C00;font-family:'Trebuchet MS', Arial, Helvetica, sans-serif; color:#FFF; cursor:pointer;">Bold</span> &nbsp; <span id="btnItalic" style=" padding: 2px 8px; background-color:#C00;font-family:'Trebuchet MS', Arial, Helvetica, sans-serif; color:#FFF; cursor:pointer;">Italic</span>
   <label for="pImage_Name" style="padding:10px;">Image Name</label>
   <input type="text" name="pImage_Name" style="border:#000099; margin:10px; width:550px;" value="<?php echo $post['Image_Name']; ?>"/>
   <label for="pApproval" style="padding:10px;">Approval</label>
   <select name="pApproval" style="border:#000099; margin:10px;">
  <option value="0">Pending</option>
  <option value="1">Approved</option>
  </select>
   <input type="hidden" name="id" value="<?php echo $_GET['id']; ?>"/>
     <span style="margin-left:10px;">Please check the changes above before submitting</span>                <br/>
   <input type="submit" name="go" value="Submit Changes" style=" padding: 2px 8px;background-color:#C00; color:#FFF; margin:10px;"/>
   </form>

   <?php
$updateq = "UPDATE sitecontent WHERE ID = '$_POST[id]'";
   ?>
Run Code Online (Sandbox Code Playgroud)

更新页面

这是将表单中的内容写入数据库的页面.

    <?php
 include'includes/connection.php';
 $pName = $_POST['pName'];
 $pItem = $_POST['pItem'];
 $pCategory = $_POST['pCategory'];
 $pDate = $_POST['pDate'];
 $pAuthor = $_POST['pAuthor'];
 $pContent = $_POST['pContent'];
 $Page = $_POST['Page'];
 $id = $_POST['id'];
 $pApproval = $_POST['pApproval'];
 $pPriority = $_POST['pPriority'];
 $pImage_Name = $_POST['pImage_Name'];

 $updateq = "UPDATE sitecontent SET ID = '$pID', Post_Title = '$pName', Post_Year =      '$pCategory', Date = '$pDate', Post_Author = '$pAuthor', Post_Content = '$pContent', Page =      '$Page', Post_Approval = '$pApproval', Priority = '$pPriority', Image_Name = '$pImage_Name'      WHERE ID = '$_POST[id]'";

 $result = mysql_query($updateq) or die (mysql_error());
 header("Location:admin.php");

 ?>
Run Code Online (Sandbox Code Playgroud)

Bon*_*ono 5

对于字符串只是说:

$pName = mysql_real_escape_string($_POST['pName']);
Run Code Online (Sandbox Code Playgroud)

对于整数:

$id = intval($_POST['id']);
Run Code Online (Sandbox Code Playgroud)

这里的所有都是它的; 只为你所有的变量做这件事

编辑
无论如何,我建议你改用PDO,以防止sql注入!

归档时间:

查看次数:

1680 次

最近记录:

12 年,10 月 前
相关归档
如何从关联PHP数组中获取第一项? 135
如何深度复制DateTime对象? 114
Symfony2 - Twig - 如何将参数发送到父模板? 47
Laravel - 上次登录日期和时间时间戳 35
如何从codeigniter中的另一个控制器加载控制器? 32
如何格式化Savon Request for Cyber​​source SOAP API 22
PHP:在双引号内使用变量 21
无法找到套接字传输"ssl" - 您是否忘记在配置PHP时启用它? 21
php explode:使用空格分隔符将字符串拆分为单词 19
什么开源CMS:生成干净的xhtml,可以用css修饰,并且有一个轻量级的标记内容编辑器? 3
难疑归档
如何撤消Git中最近的提交? 20327
如何重命名本地Git分支? 8033
提高SQLite的每秒INSERT性能? 2880
'real','user'和'sys'在time(1)的输出中意味着什么? 1622
如何使用自定义对象对NSMutableArray进行排序? 1253
纯JavaScript相当于jQuery的$ .ready() - 如何在页面/ DOM准备就绪时调用函数 1244
从JS数组中删除重复值 1225
如何随机化(shuffle)一个JavaScript数组? 1138
endsWith在JavaScript中 1085
自我的目的是什么? 1061