我正在尝试在线阅读一些教程之后编写一个简单的PHP留言簿。我能够毫无问题地写入数据库;但是,当我尝试解析现有的注释并将它们“回显”回页面时,我没有看到任何显示的内容。
这有明显的原因吗?
(相关代码在“现有评论:”)
下开始<?php
require_once('includes/config.inc.php');
define('DB_GUEST','guestbook_db');
// Connect
$mysqli = @new mysqli(DB_HOSTNAME,DB_USERNAME,DB_PASSWORD,DB_GUEST);
// Check connection
if (mysqli_connect_errno()) {
printf("Unable to connect to database: %s", mysqli_connect_error());
exit();
}
// POST
if($_SERVER['REQUEST_METHOD'] == 'POST') {
$now = time();
$name=($_POST['name']);
$message =($_POST['message']);
$sql = "insert into comments (name,message,timestamp) values ('$name','$message','$now')";
$result = $mysqli->query($sql) or die($mysqli->error.__LINE__);
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Guest Book</title>
</head>
<body>
<h3>Post A Comment:</h3>
<form action="index.php" method="post">
<strong>Name:</strong><br/> <input type="text" name="name" /><br/>
<strong>Comment:</strong><br/> <textarea name="message" rows="5" cols="25">
<textarea><br/>
<input type="submit" value="Go">
</form>
<h3>Exisiting Comments:</h3>
<?php
$sql1 = "select * from guestbook_db.comments";
$allPostsQuery = $mysqli->query($sql1) or die($mysqli->error.__LINE__);
if(!mysql_fetch_rows($allPostsQuery)) {
echo "No comments were found!";
} else {
while($row = mysql_fetch_assoc($allPostsQuery)) {
echo "<b>Name:</b> {$comment[1]} <br/>";
echo "<b>Message:</b> {$comment[2]} <br/>";
echo "<b>Posted at:</b> " .date("Y-d-m H:i:s",$comment[3]). " <br/><hr/>";
}
}
?>
</body>
</html>
答案 0 :(得分:1)
首先,我必须直接使用$_POST变量发出强制性警告。您的用户可以在其中放置任何,包括SQL注入字符串。使用PDO或使用mysqli参数化来清理数据。
在此之后,您正在使用变量
$comment
何时应该使用
$row
因为这是你在while循环中命名记录变量的原因。此外,您已拨打mysql_fetch_assoc(也应该是mysqli的fetch_assoc(),您正在将mysql与mysqli混合使用 - 使用mysqli个返回一个关联数组,而不是编号为1的索引,正如您在调用$comment[1]时所假设的那样。
简而言之,只是一些愚蠢的错误,但也去阅读有关PHP的mysqli和SQL injection的文档。