我有一个用户用来评论帖子的表单。现在这个表单的隐藏输入是正确的,它得到正确的'streamidcontent'但是当我通过ajax发送它并进入数据库时,它总是更改为最后创建的状态ID'4076'并将其添加到最顶层的帖子饲料。 所以我想知道,我做错了什么。
streamdata_comments
1 comment_id int(11)否无AUTO_INCREMENT
2 comment_poster int(11)否无
3 comment_streamitem int(11)否无
4 comment_datetime datetime否无
FORM
<form id="mycommentform" method="POST" class="form_statusinput">
<input type="hidden" name="streamidcontent" id="streamidcontent" value="'.$streamitem_data['streamitem_id'].'">
<input type="input" name"content" id="content" placeholder="Say something" autocomplete="off">
<input type="submit" id="button" value="Feed">
</form>
COMMENT_ADD.PHP
<?php
session_start();
require"include/load.php";
error_reporting(E_ERROR | E_WARNING | E_PARSE | E_NOTICE);
if(isset($_POST['streamidcontent'])&isset($_POST['content'])){
$content = htmlspecialchars($_POST['content']);
$streamid = htmlspecialchars($_POST['streamidcontent']);
$content = preg_replace('/(?<!S)((http(s?):\/\/)|(www.))+([\w.1-9\&=#?\-~%;\/]+)/','<a href="http$3://$4$5">http$3://$4$5</a>', $content);
$insert = "INSERT INTO streamdata_comments(comment_poster, comment_streamitem, comment_datetime, comment_content) VALUES (".$_SESSION['id'].",'$streamid',UTC_TIMESTAMP(),'$content')";
$add_post = mysqli_query($mysqli,$insert) or die(mysqli_error($mysqli));
}
AJAX
<script>
$(document).ready(function(){
$("form#mycommentform").submit(function(event) {
event.preventDefault();
var streamidcontent = $("#streamidcontent").val();
var content = $(this).children('#content').val();
$.ajax({
type: "POST",
url: "comment_add.php",
cache: false,
dataType: "json",
data: { streamidcontent: streamidcontent, content: content},
success: function(html){
$("#containerid").html("<div class='stream_comment_holder' id='comment_holder_"+html['comment_streamitem']+"'><div id='comment_list_"+html['comment_streamitem']+"'><div class='stream_comment' id='comment_"+html['comment_id']+"'>div class='stream_comment_holder' id= style='display:;'><div class='stream_comment'><table width='100%'><tbody><tr><td valign='top' width='30px'><img class='stream_profileimage' style='border:none;padding:0px;display:inline;' border=\"0\" src=\"imgs/cropped"+html['id']+".jpg\" onerror='this.src=\"img/no_profile_img.jpeg\"' width=\"40\" height=\"40\" ></td><td valign='top' align='left'><a href='profile.php?username="+html['username']+"'>"+html['first']+" </a>"+html['comment_content']+"</td></tr></tbody></table></div></div></div></div>");
}
});
return false
});
});
</script>
和我的老AJAX插入精细。但我需要添加我的喜欢,不喜欢和删除按钮。所以把它改成了上面没有正常工作的AJAX。
function addcomment(streamid,content,containerid,posterid,postername,postid){
var obj = document.getElementById(containerid);
$.post("../comment_add.php", { streamid: streamid,content:content} );
obj.innerHTML = obj.innerHTML + "<div class='stream_comment'><table width='100%'><tbody><tr><td valign='top' width='30px'><img style='border:none;padding:0px;height:30px;width:30px;border-radius:0px;' src='imgs/cropped"+posterid+".jpg' onerror='this.src="img/no_profile_img.jpeg";'></td><td valign='top' align='left'><a href='profile.php?username="+posterid+"'>"+postername+" </a>"+content+"</td></tr></tbody></table></div>";
}
答案 0 :(得分:2)
您的代码中发生了一些奇怪的事情:
$content = $_POST['content'];
$content = strip_tags($_POST['content']);
您使用不同的值填充$content
变量两次。同样适用于id:
$streamid = $_POST['streamidcontent'];
$streamid = strip_tags($_POST['streamidcontent']);
我严重怀疑在插入数据库之前你应该使用strip_tags
。显示时只需使用htmlspecialchars()
即可。或者在显示时使用htmlpurifier。
您的申请中也有SQL Injection vulnerability。请在此处详细了解如何防止此问题:How can I prevent SQL injection in PHP?。
使用您共享的代码,新记录将被分配一个新ID。你是怎么检查你每次都得到相同的id?。
最后,您可以通过执行以下操作获取mysqli中的最后一个插入ID:
echo $mysqli->insert_id;
在query()
之后。
您是否还检查了呈现的HTML以查看ID的位置?
答案 1 :(得分:2)
您是否认为错误可能实际上是您的Feed,而不是实际的插入?或者它可能是AJAX?
要验证插件是否正常,请尝试:
echo $streamid; // Shows you're getting the right value from AJAX.
$add_post = mysqli_query($mysqli,$insert) or die(mysqli_error($mysqli));
if($add_post) {
$NewID = mysqli_insert_id(mysqli);
$query = 'SELECT * FROM streamdata_comments WHERE comment_id=' . $NewID;
if ($result = mysqli_query($mysqli, $query)) {
while ($row = $result->fetch_object()){
var_dump($row); // Check the actual input is as you expected.
}
mysqli_free_result($result);
}
}
如果使用AJAX,您需要通过其中一个网络工具监控结果(在Chrome,NET面板中按F12;或使用Fiddler表示Win或Charles表示Mac)