这不是问题,只是在插入sql数据库时一直在查看使用准备好的参数。
有人可以查看我的代码并告诉我它是否安全。 (使用的只是提交姓名,号码和地址以便为产品预订的人)
我的php:
<?php include 'connectionDetailsOrders.php'; ?>
<?php
if (isset($_POST['fullName'], $_POST['contactPhone'], $_POST['address'], $_POST['product']))
{
$fullName = $_POST['fullName'];
$contactPhone = $_POST['contactPhone'];
$address = $_POST['address'];
$product = $_POST['product'];
$sql = "INSERT INTO Orders(FullName, ContactPhone, Address, Paid, Delivered, TrackingNumber, DateCreated, Product)
VALUES((?), (?), (?), 1, 1, NULL, GETDATE(), (?))";
$params = array($fullName, $contactPhone, $address, $product);
$stmt = sqlsrv_query($conn, $sql, $params);
if ($stmt === false)
{
die( print_r(sqlsrv_errors(), true));
}
else
{
header("Location: success.php");
}
}
?>
如果有人能够让我知道我是否正确保护插件,那将非常受欢迎。