Question

首先，抱歉我的英语不好。我希望你能理解我的需要。我开了一个网站，产品出价。我有一个产品页面，用户可以看到所有产品和一个按钮，将用户发送到一个表格，他可以为该产品输入新价格，并用新的价格更新数据库中的现有价格。但我希望只有当初始价格低于用户输入的价格时才会发生这种情况。

我该怎么做？我很兴奋，我需要另一个专栏新价格，并将其与价格进行比较，但我不知道该怎么做......

这是表“产品”：

id | titlu | stare | price | descriere
_____________________________________
 1 |  asd  |  asd  |  140 |    asd

这是产品页面（produs_user.php）

<?php
include('connect.php');
?>

<?php
//create the query
$result = mysqli_query($con,"select * from produse");

//return the array and loop through each row
while ($row = mysqli_fetch_array($result))
{
?>

<div class="produse"> 
<div class="produse-header"> 
<h3><?php echo $row['titlu'];?></h3>
<h5><?php echo $row['stare'];?></h5>
</div>
<div class="produse-continut">
<textarea readonly><?php echo $row['descriere'];?></textarea>
</div>
<div class="produse-pret"> 
<p><?php echo $row['price'];?> lei</p>
</div>
<div class="produse-buton"> 
<form action="liciteaza.php">
  <input type="submit" value="Liciteaza">
</form>
</div></div>

<?php 
} 
mysqli_close($con);
?>

上面的页面将用户发送到liciteaza.php，其中我有一个用户输入新价格的字段这是liciteaza.php

<?php
include('connect.php');
?>

<?php
//create the query
$result = mysqli_query($con,"select * from produse");

//return the array and loop through each row
while ($row = mysqli_fetch_array($result))
{
?>

<form method="post" action="update_pret.php">
<div class="produse"> 
<div class="produse-header"> 
<h3><?php echo $row['titlu'];?></h3>
<h5><?php echo $row['stare'];?></h5>
</div>
<div class="produse-continut">
<textarea readonly><?php echo $row['descriere'];?></textarea>
</div>
<div class="produse-pret">
<p><input name="price" class="modifica-pret" id="price" value="<?php echo $row['price']; ?>"></p>
<input name="id" type="hidden" id="id" value="<?php echo $row['id']; ?>">
</div>
<div class="produse-buton"> 
  <input type="submit" value="Liciteaza">
</form>
</div></div>

<?php 
} 
mysqli_close($con);
?>

该页面将我发送到update_pret.php，我将新价格更新为mysql表

这是update_pret.php

<?php
include('connect.php');

// update data in mysql database 
$result=mysqli_query($con,"UPDATE produse SET price='$_POST[price]' WHERE id='$_POST[id]'");

// if successfully updated. 
if($result)
{
header("location:produse_user.php");
}
else 
{
echo "ERROR";
}
mysqli_close($con);
?>

所有这些脚本都运行得很好，但就像我说的那样，只有当用户选择的新价格大于初始价格时才需要这样做。

Answer 1

一种选择是修改你的where语句：

$result=mysqli_query($con,"UPDATE produse SET price='$_POST[price]' 
WHERE id='$_POST[id]' AND price < $_POST[price] ");

Answer 2

拳头解决方案： 使用IF

UPDATE `produse` 
SET `price` = IF(`price` > '$_POST[price]', `price`, '$_POST[price]') 
WHERE `id` = '$_POST[id]'

第二个解决方案： 使用CASE声明：

UPDATE `produse` 
SET `price` = (CASE WHEN `price` > '$_POST[price]' THEN `price` ELSE  '$_POST[price]' END)
WHERE `id` = '$_POST[id]'

Answer 3

maythesource.com的回答也包含此更新：

$result=mysqli_query($con,"UPDATE produse SET price='$_POST[price]' WHERE id='$_POST[id]' and price > $_POST[price]");

应该解决您的问题，但是，您绝对不能保护自己免受SQL注入。您应该确保用户输入不包含恶意代码更新或删除其他内容。

了解SQL注入攻击类型here。您可以使用here所述的预准备语句。

编辑：根据maythesource.com的要求，我提供了一个可能会造成伤害的SQL注入示例。假设您使用我在初始答案中提供的代码。 $_POST['price']的值为：

66';

然后它会更新produse表中的所有产品，价格为66，因此您将失去所有价格。想象一下，如果拍卖中的所有房地产都有66列伊作为价格。你的老板会想要你的头脑：）

Answer 4

UPDATE produse SET price = '$_POST[price]' WHERE id='$_POST[id]' AND price < $_POST['price']

您应该能够检查sql响应以查看更新是否实际影响了任何行，因此您可以相应地更新用户。

请注意，这是不安全的，您应首先将$_POST['price']分配给var，然后检查内容（解析为数字），并在{{1}中使用var }}。将query直接插入$_POST允许攻击者修改query。

PHP比较2个整数和更新表与更大的一个

4 个答案: