制作"运动"论坛,这部分代码来自Forum-> Thread->编辑线程。
现在我已经阅读了有关Mysql真实转义字符串的内容,但未能有效地将其附加到我的代码中。
现在,我现在没有使用准备好的陈述......但是我要围绕它们进行重建。
数据库:uf
表:
forum_tbl (以下是"大"论坛)&
forum_post (这是forum_tbl的孩子(在某种意义上)并持有主题。)
如何安全地让用户将数据(html内容)插入我的数据库?
如何从数据库中检索安全设置的数据。
代码末尾没有花括号,它继续......只是代码的一部分。
if ($_POST['editbtn']){
if( isset($_POST['newContent']) )
{
$newContent = $_POST['newContent'];
$id = $_POST['id'];
$sql = "UPDATE forum_post SET post_body='$newContent' WHERE post_id='$id'";
$res = mysqli_query($mysql, $sql);
}
答案 0 :(得分:1)
希望它有所帮助.Pdo是一种安全的CRUD操作方式
$dbhost = "localhost";
$dbname = "test";
$dbuser = "root";
$dbpass = "root";
$mysql = new PDO("mysql:host=$dbhost;dbname=$dbname",$dbuser,$dbpass);
if( isset($_POST['newContent']) )
{
$newContent = $_POST['newContent'];
$id = $_POST['id'];
$sql = "UPDATE forum_post SET post_body=? WHERE post_id=?";
$query=$mysql->prepare($sql);
$query->execute(array($newContent,$id));
}