我有这个表格和流程页面 在表单页面上,有两个隐藏的输入id和reg_time值在" end"处设置为null。当执行没有问题的id但在行reg_time下我得到0000-00-00 00:00:00时间戳设置 在表用户中。 有什么建议吗?
function post($POST)
{
$POST = array_map('trim', $_POST);
$hash = "$2y$10$";
$salt = "nekiludistringzahash22";
$his = $hash . $salt;
$POST['pass'] = crypt($_POST['pass'],$his);
return $POST;
}
$sql = "insert into users values(:" . implode(",:", array_keys(post($_POST))) . ");";
try{
$db = new PDO('mysql:host=localhost;charset=utf8;dbname=dbname','root','');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
}catch (PDOException $e)
{
die("Conn problem " . $e->getMessage());
}
$reg = $db->prepare($sql);
$reg->execute(post($_POST));
和表格
<form action="exp2.php" method="post">
<input type="hidden" name="id" value="null">
<input type="text"name="uname">
<input type="text"name="pass">
<input type="text"name="name">
<input type="text"name="lname">
<input type="submit">
<input type="hidden" name="reg_time" value = "null">
</form>
答案 0 :(得分:3)
你的问题很常见。
许多学习者无法从包含四个字母“NULL”的字符串中分辨出NULL值。而后者绝对没有特殊意义。
还有坏消息:HTTP协议是基于文本的。意味着使用HTTP方法不能发送除字符串之外的任何内容,因此无法通过HTTP POST发送NULL值。
要使此代码正常工作,您必须在服务器端添加NULL,就像使用密码一样:
function post($POST)
{
$POST = array_map('trim', $_POST);
$hash = "$2y$10$";
$salt = "nekiludistringzahash22";
$his = $hash . $salt;
$POST['pass'] = crypt($_POST['pass'],$his);
$POST['reg_time'] = NULL;
$POST['id'] = NULL;
return $POST;
}
但是,这不是您的代码的主要问题。最糟糕的消息是你的代码是severely vulnerable to sql injection,尽管看似合适。
为确保安全,请让您的功能接受允许字段列表,并为缺席字段分配NULL值:
function post($allowed)
{
$post = array();
foreach ($allowed as $key)
{
if (isset($_POST[$key])) $post[$key] = trim($_POST[$key]);
else $_POST[$key] = NULL;
}
$hash = "$2y$10$";
$salt = "nekiludistringzahash22";
$his = $hash . $salt;
$POST['pass'] = crypt($_POST['pass'],$his);
}
然后像这样称呼它:
$post = post(array('id','uname','pass','name','lname','reg_time'));
$sql = "insert into users values(:" . implode(",:", array_keys($post)).");";
$reg = $db->prepare($sql);
$reg->execute($post);
这样您就可以过滤掉所有字段名称。
作为奖励,您可以为提交按钮分配自定义值;)