sql >> Databáze >  >> RDS >> Mysql

Připojení html formuláře k php stránce podle primárního klíče

Za prvé, pokud se jedná o kód, který má být použit v produkci, ujistěte se, že před vložením do příkazu escapujete své parametry SQL. Útok SQL injection nikoho nebaví. Místo toho bych doporučil používat PDO, protože podporuje připravené příkazy a vazbu parametrů, což je mnohem bezpečnější.

Jak mohu zabránit vkládání SQL v PHP?

Takže máte formulář...

[title]

[details]

[submit]

A to se vloží do vaší databáze...

INSERT INTO questions (title, details) VALUES (?, ?)

Poslední ID vložení můžete získat pomocí mysql_insert_id , http://php.net/manual/en/function. mysql-insert-id.php .

$id = mysql_insert_id();

Pak můžete získat záznam...

SELECT title, details FROM questions WHERE id = ?

A vytisknout jej na stránce náhledu.

Napsal jsem příklad pomocí PDO namísto základních funkcí mysql.

form.php :

<form action="process.php" method="post">
    <label for="question_title">Title</label>
    <input id="question_title" name="title"/>
    <label for="question_detail">Detail</label>
    <input id="question_detail" name="detail"/>
    <button type="submit">Submit</button>
</form>

process.php :

<?php

// Create a database connection
$pdo = new PDO("mysql:dbname=test");
// Prepare the insert statement and bind parameters
$stmt = $pdo->prepare("INSERT INTO questions (title, detail) VALUES (?, ?)");
$stmt->bindValue(1, $_POST["title"], PDO::PARAM_STR);
$stmt->bindValue(2, $_POST["detail"], PDO::PARAM_STR);
// Execute the insert statement
$stmt->execute();
// Retrieve the id
$id = $stmt->lastInsertId();

// Prepare a select statement and bind the id parameter
$stmt = $pdo->prepare("SELECT title, detail FROM questions WHERE id = ?");
$stmt->bindValue(1, $id, PDO::PARAM_INT);
// Execute the select statement
$stmt->execute();
// Retrieve the record as an associative array
$row = $stmt->fetch(PDO::FETCH_ASSOC);

?>

<h1><?php echo htmlspecialchars($row["title"]);?></h1>
<p><?php echo htmlspecialchars($row["detail"]);?></p>

Bez CHOP...

form.php :

<form action="process.php" method="post">
    <label for="question_title">Title</label>
    <input id="question_title" name="title"/>
    <label for="question_detail">Detail</label>
    <input id="question_detail" name="detail"/>
    <button type="submit">Submit</button>
</form>

process.php :

<?php

// Create a database connection
$conn = mysql_connect();
// Execute the insert statement safely
mysql_query("INSERT INTO questions (title, detail) VALUES ('" . 
    mysql_real_escape_string($_POST["title"]) . "','" .
    mysql_real_escape_string($_POST["detail"]) . "')", $conn);
// Retrieve the id
$id = mysql_insert_id($conn);
// Close the connection
mysql_close($conn);

header("Location: question_preview.php?id=$id");

question_preview.php :

<?php

// Create a database connection
$conn = mysql_connect();
// Execute a select statement safely
$result = mysql_query("SELECT title, detail FROM questions WHERE id = " .
    mysql_real_escape_string($_GET["id"]), $conn);
// Retrieve the record as an associative array
$row = mysql_fetch_assoc($result);
// Close the connection
mysql_close($conn);

?>

<h1><?php echo htmlspecialchars($row["title"]);?></h1>
<p><?php echo htmlspecialchars($row["detail"]);?></p>


  1. PHP mysql_stmt::fetch() způsobí vyčerpání paměti pro závažnou chybu PHP

  2. Převést „datetimeoffset“ na „čas“ v SQL Server (příklady T-SQL)

  3. JDBC SQLServerException:Tento ovladač není nakonfigurován pro integrované ověřování.

  4. Podpora pro omezení cizího klíče v Rails