Question

我有一个PHP表单，它应该将书籍添加到SQLite数据库中的书籍表中。表单提交，但是我的数据库中没有添加书籍。

<?php
session_start();

require("books.php");
require("layout.php");

$db=sqlite_open ("products.db", 0666, $error);

echo $header;
echo "<p>
        <a href='./index.php'>Bookshop</a></p>";
echo "<h1> Add Books </h1>
<p>
<form action='' method='get' id='AddBook'>
  Author: <input type='text' name='Author'><br>
  Title: <input type='text' name='Title'><br>
  Brief_Synopsis: <input type='text' name='Synopsis'><br>
  ISBN_Number: <input type='text' name='ISBN'><br>
  Publisher: <input type='text' name='Publisher'><br>
  imgNumber (save img with this name under /img/): <input type='text' name='imgNum'><br>
  Price: <input type='text' name='Price'><br>
  Category 1: <input type='text' name='Cat1'><br>
  Category 2: <input type='text' name='Cat2'><br>
  <input type='submit' value='Submit' name='Submit'>
</form>
</p>";


if(isset($_POST['Submit'])){
        $author = $_POST['Author'];
$title = $_POST['Title'];
$Synopsis = $_POST['Synopsis'];
$ISBN = $_POST['ISBN'];
$Publisher = $_POST['Publisher'];
$imgNum = $_POST['imgNum'];
$Price = $_POST['Price'];
$Cat1 = $_POST['Cat1'];
$Cat2 = $_POST['Cat2'];
sqlite_query($db,"INSERT INTO Books (Author, Title, Brief_Synopsis, ISBN_Number, Publisher, imgNumber, price, cat1, cat2) VALUES ('$_POST[Author]', '$_POST[Title]', '$_POST[Synopsis]', '$_POST[ISBN]', '$_POST[Publisher]', '$_POST[imgNum]', '$_POST[Price]', '$_POST[Cat1]', '$_POST[Cat2]')"); 
    echo("Book Added!");
$dbh = null;
}
?>

为什么此代码没有正确更新我的数据库？在我添加if语句之前，每次加载页面时都会向数据库添加一本空书，但是现在它提交并重置表单，我的URL看起来是正确的，但数据库没有添加项目。

Answer 1

您的代码静默失败，因为您在表单中使用了GET方法，而您正在使用POST数组。

将表单的方法更改为POST。

我还需要指出您的现有代码对SQL injection开放。使用prepared statements或PDO with prepared statements，他们更安全。

Answer 2

if语句正在检查submit是否存在且不为null。您无法检查输入类型提交，没有关联值。您可以添加隐藏的输入并进行检查：

<input type="hidden" name="checkSubmit" value="Submitted">

if(isset($_POST['checksubmit']))

Answer 3

我还注意到sql注入正在查看$_POST['myvariable']，这使得先前对变量的检查最多是冗余的。

PHP表单不更新sqlite数据库

3 个答案: