我一直在使用这个完全代码(更改变量名称),在我的网站中输入信息到我的数据库,我从来没有遇到过问题。 这是我一直厌倦一次插入数据库的变量。数据不会插入错误消息。
有更好的方法吗?这是一个众所周知的问题吗?
PHP
<?php
if (isset($_POST['Save'])) {
$f_name = $_POST['franchise_name'];
$f_email = $_POST['fran_email'];
$f_mangn = $_POST['mang_name'];
$f_addline_1 = $_POST['franc_address'];
$f_addline_2 = $_POST['address2'];
$f_city = $_POST['city'];
$f_pcode = $_POST['pcode'];
$f_phone = $_POST['franc_phone'];
$insert_franc_dets = "INSERT INTO Franchise_manager_account(Area_Name,Franchise_email,Fran_Fname,Fran_business_add_line1,Fran_business_add_line2,Fran_City,fran_Postcode,Fran_Contact_Num)
VALUES (?,?,?,?,?,?,?,?)
ON DUPLICATE KEY
UPDATE
Area_Name = '$f_name',
Franchise_email = '$f_email',
Fran_Fname = '$f_mangn',
Fran_business_add_line1 = '$f_addline_1',
Fran_business_add_line2 = '$f_addline_2',
Fran_City = '$f_city',
fran_Postcode = '$f_pcode',
Fran_Contact_Num = '$f_phone'";
$c = mysqli_prepare($dbc, $insert_franc_dets);
//new
// $stmt = mysqli_prepare($dbc, $insert_c);
//debugging
//$c = mysqli_prepare($dbc, $insert_franc_dets) or die(mysqli_error($dbc));
mysqli_stmt_bind_param($c,'sssssssi', $f_name, $f_email, $f_mangn, $f_addline_1, $f_addline_2, $f_city, $f_pcode, $f_phone);
/* execute query */
$execute = mysqli_stmt_execute($c);
// if inserted echo the following messges
if ($execute) {
echo "<script> alert('Addrrss Saved')</script>";
} else {
echo "<b>Oops! we have an issue </b>";
}
}
$dbc->close();
?>
HTML
<form id="franchiseDets" action ="Franchise-Details.php" method="POST">
<!-- franchise details form-->
<div class="field">
<input type="text" name="franchise_name" id="fran_name" placeholder="e.g One Delivery Leeds" pattern="[a-zA-Z]"
autofocus required tabindex="1">
<br>
<input type="email" name="fran_email" id="fran_email" placeholder="leeds@one-delivery.co.uk" required tabindex="2">
<br>
<input type="text" name="mang_name" id="name" placeholder="Joe Blogs" required tabindex="3">
<br>
<input type="text" name="franc_address" id="address1" placeholder="Address Line 1" tanindex="4">
<input type="text" name="address2" id="address2" placeholder="Address Line 2" tabindex="5">
<input type="text" name="city" id="city" placeholder="Town/City" tabindex="6">
<input type="text" name="pcode" id="pcode" placeholder="Postcode" tabindex="7">
<br>
<input type="tel" name="franc_phone" id="phone" placeholder="Customer service number" min="10" maxlength="11" pattern="[0-9]{3}[-][0-9]{4}[-][0-9]{4}"
required title="Please provide your customer service number in the following format: 000-0000-0000" tabindex="8">
<input type="submit" name="Save" value="Save">
</form>
<br>
</div>
表(3个独特元素) 在session_start();在页面顶部。 仍在进行sql注射。
答案 0 :(得分:2)
您正在使用绑定占位符进行插入。 (那是件好事)
但是你在更新的SQL文本中有 literals 。 (为了爱世界上所有善良美丽的人,你为什么要那样做?)
带有绑定占位符的预准备语句是对SQL注入的防御。但这项工作只完成了一半。
只需使用VALUES()函数来引用已插入到列中的值(如果插入有效)。我没有查看您分配给更新部分中哪些列的值,下面的示例指定了为插入提供的值。
INSERT INTO franchise_manager_account
( area_name
, franchise_email
, fran_fname
, fran_business_add_line1
, fran_business_add_line2
, fran_city
, fran_postcode
, fran_contact_num
) VALUES
( ?
, ?
, ?
, ?
, ?
, ?
, ?
, ?
)
ON DUPLICATE KEY
UPDATE area_name = VALUES(area_name)
, franchise_email = VALUES(franchise_email)
, fran_fname = VALUES(fran_fname)
, fran_business_add_line1 = VALUES(fran_business_add_line1)
, fran_business_add_line2 = VALUES(fran_business_add_line2)
, fran_city = VALUES(fran_city)
, fran_postcode = VALUES(fran_postcode)
, fran_contact_num = VALUES(fran_contact_num)
要执行UPDATE部分,INSERT必须引发“重复键异常”。并且为了发生该错误,需要至少定义一个PRIMARY和/或UNIQUE KEY。 (从一个或多个列构成主键和/或唯一键的问题不清楚。通常,我们省略来自UPDATE的那些列。)
如果我需要在更新中提供不同的值,我会使用SQL表达式来执行任何检查或操作(例如,不要替换非NULL值,或添加到现有价值,等等。
, col7 = IF(col7 IS NULL, VALUES(col7), col7)
, col8 = col8 + VALUES(col8)
, col9 = CONCAT(col9,',',VALUES(col9))
, colA = ?
如果它是一个完全不同的值,那么我将为它提供一个绑定占位符,就像在INSERT中一样。
至于为什么没有插入行...如果它是SQL注入导致问题,就好像其中一个值包含单引号或其他内容,上面的模式应该解决这个问题。
代码应该真正检查prepare和execute的返回,并处理错误。发送mysqli_error文本不是生产就绪代码的最佳实践,但它易于开发和调试。您的代码至少应该检查错误并拥有代码块。对于开发,至少是echo / print mysqli_error。
如果你的代码没有这样做,那就是把它的虚拟小拇指放在它的虚拟嘴角,Dr.Evil风格并且说“我只是假设它将全部去计划。什么?” / p>
确保启用PHP错误报告。
你确定第一个脚本甚至被执行了吗?
如果仍然无法找到问题,请开始添加一些额外的调试输出。