在PHP中解析和回显SQL结果

时间:2013-07-10 14:19:04

标签: php mysql parsing

我正在尝试在线阅读一些教程之后编写一个简单的PHP留言簿。我能够毫无问题地写入数据库;但是,当我尝试解析现有的注释并将它们“回显”回页面时,我没有看到任何显示的内容。

这有明显的原因吗?

(相关代码在“现有评论:”

下开始
<?php
require_once('includes/config.inc.php');
define('DB_GUEST','guestbook_db');

// Connect
$mysqli = @new mysqli(DB_HOSTNAME,DB_USERNAME,DB_PASSWORD,DB_GUEST);

// Check connection 
if (mysqli_connect_errno()) { 
printf("Unable to connect to database: %s", mysqli_connect_error()); 
exit(); 
} 

// POST
if($_SERVER['REQUEST_METHOD'] == 'POST') {
    $now = time();
    $name=($_POST['name']);
    $message =($_POST['message']);

$sql = "insert into comments (name,message,timestamp) values  ('$name','$message','$now')";

    $result = $mysqli->query($sql) or die($mysqli->error.__LINE__);
}
?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title>Guest Book</title>
</head>
<body>

<h3>Post A Comment:</h3>
<form action="index.php" method="post">
   <strong>Name:</strong><br/> <input type="text" name="name" /><br/>
   <strong>Comment:</strong><br/> <textarea name="message" rows="5" cols="25">           
<textarea><br/>
<input type="submit" value="Go">
</form>

<h3>Exisiting Comments:</h3>

<?php
$sql1 = "select * from guestbook_db.comments";
$allPostsQuery = $mysqli->query($sql1) or die($mysqli->error.__LINE__);

if(!mysql_fetch_rows($allPostsQuery)) {
    echo "No comments were found!";
} else {
while($row = mysql_fetch_assoc($allPostsQuery)) {
echo "<b>Name:</b> {$comment[1]} <br/>";
echo "<b>Message:</b> {$comment[2]} <br/>";
echo "<b>Posted at:</b> " .date("Y-d-m H:i:s",$comment[3]). " <br/><hr/>";
    }
}
?>
</body>
</html>

1 个答案:

答案 0 :(得分:1)

首先,我必须直接使用$_POST变量发出强制性警告。您的用户可以在其中放置任何,包括SQL注入字符串。使用PDO或使用mysqli参数化来清理数据。

在此之后,您正在使用变量

$comment

何时应该使用

$row

因为这是你在while循环中命名记录变量的原因。此外,您已拨打mysql_fetch_assoc(也应该是mysqli的fetch_assoc(),您正在将mysqlmysqli混合使用 - 使用mysqli个返回一个关联数组,而不是编号为1的索引,正如您在调用$comment[1]时所假设的那样。

简而言之,只是一些愚蠢的错误,但也去阅读有关PHP的mysqliSQL injection的文档。