通過Img Src變量更新MySQL值包括jQuery

Question

感謝所有在過去幾天幫助過我的人..不幸的是，我工作以至於無法回覆你。我已經將一些代碼添加到了我認爲可行的代碼中，但出於某種原因，下面的代碼不會在我的SQL數據庫中更新。我會提供代碼和它的輸出，如果有人可以請複製代碼，看看爲什麼它不工作......這真的是我的頭！哈哈！

（與MySQL db +表的連接工作正常）。

// admin.php 
<a href="#" id="chngeHref" /><img src="<?php echo "image.php?url=" . $row[2]; ?>?tid=<?php echo $row[0]; ?>&opn=<?php echo $row[1]; ?>" id="chnge" /></a> 
// image.php?url=image.jpg?tid=3&opn=1 

我被建議這樣做，以使我更容易通過過程中的變量（tid和opn）。

// update.php 

$tid = $_GET['tid']; 
$opn = $_GET['opn']; 

if ($opn == "0") { $opn = "1"; } elseif ($opn == "1") { $opn = "0"; } 

mysql_query("UPDATE catalogue SET opn = $opn WHERE tid = $tid ; "); 

mysql_close(); 

// it's just a simple script to change a variable from 1 to 0 or 0 to 1 where tid = a specific number... 

我有我的jQuery的東西都藏在一個可愛的小文件，因爲有很多的吧...

// navigate.js 


$.extend({ 
getUrlVars: function() { 
    var vars = {}; 
    var parts = window.location.href.replace(/[?&]+([^=&]+)=([^&]*)/gi, function(m,key,value) { vars[key] = value; }); 
return vars; 
} 
}); 


$("#chngeHref").click(function() { 
var tid = $.getUrlVars()['tid']; 
var opn = $.getUrlVars()['opn']; 

$.ajax({ 
    type: "POST", 
    url: "update.php", 
    data: "tid="+ tid +"& opn="+ opn, 
    success: function(){ 
    $('#chnge').fadeTo('slow',0.4); 
    } 
    }); 
});  

的.extend代碼，我在網上發現了發現參數以及地址行中所有人的價值。我認爲這是我的問題可能出現的地方，因爲頂級代碼實際上從來沒有將它發送到地址欄，而是通過jQuery發送到update.php文件。

我只能說，謝謝你soooo提前任何人誰可以在此協助。菲利普。

菲利普。

Answer 1

這裏有幾個問題存在於SQL注入漏洞Nathan提到，即你正在發佈，所以你需要使用$_POST而不是$_GET來檢索你的變量。你也需要在數據塊中的額外的空間，這一點：

data: "tid="+ tid +"& opn="+ opn, 

應該是：

data: "tid="+ tid +"&opn="+ opn, 

或使用位清潔對象符號（所以它也被正確編碼）：

data { tid: tid, opn: opn }, 

---

對於SQL注入的問題，而不是這樣的：

mysql_query("UPDATE catalogue SET opn = $opn WHERE tid = $tid ; "); 

最起碼躲過值，如：

$tid = mysql_real_escape_string($_POST['tid']); 
$opn = mysql_real_escape_string($_POST['opn']); 

或者go the parameterized query route，這就是我喜歡。