在數據庫中發佈信息的更好方法？

Question

目前，我在HTML端代碼如下所示：

<form action="newstory.php" method="post"> 
<input type="hidden" name="author" value="<?php echo $loggedInUser->display_username; ?>" 
/> 
<input type="hidden" name="userid" value="<?php echo $loggedInUser->user_id ?>" /> 
Story Title: <input type="text" name="story_name" /><br> 
Story: <textarea rows="10" cols="30" name="story" /></textarea><br> 
<input type="submit" /> 
</form> 

這裏的PHP端：

include("dbconnect.php"); 

mysql_select_db("scratch", $con); 

$author  = mysql_real_escape_string($_POST['author']); 
$author_id = mysql_real_escape_string($_POST['userid']); 
$story_name = mysql_real_escape_string($_POST['story_name']); 
$story  = mysql_real_escape_string($_POST['story']); 

$sql= " 
INSERT INTO stories (author, author_id, story_name, story) 
VALUES ('$author', '$author_id','$story_name', '$story') 
"; 


if (!mysql_query($sql,$con)) 
{ 
die('Error: ' . mysql_error()); 
} 
echo "Story Submitted! Redirecting to Homepage..."; 
//User is shown this for about 3 seconds 
header('Refresh: 3; URL=index.php'); 

mysql_close($con) 

我想擺脫的

<input type="hidden" name="author" value="<?php echo $loggedInUser->display_username; ? 
>"/> 

這樣人們就可以輕鬆編輯和發佈任何用戶，但我不確定一個好方法。用戶標識也一樣。

幫助表示讚賞！

Answer 1

檢查用戶是否已設置，並且只要用戶對象有效就顯示該表單。在使用mysql保存之前，使用用戶對象的值，而不是從POST數據中讀取值。

<?php if (isset($_POST['story_name'])) { 
// story posted.. check if user is set 
if (isset($loggedInUser->user_id)) { 
    // save into database using $loggedInUser->user_id and $loggedInUser->author_name 
} 
?> 

<?php 
// just show the form if the user object is set 
if (isset($loggedInUser->user_id)){ 
?> 
<form> <!-- and show the form over here --> </form> 
<?php } ?> 

哦，你的mysql_real_escape_string()是好的！另一個最佳做法是將變量添加到使用sprintf()查詢：

$author  = mysql_real_escape_string($loggedInUser->author_name); 
$author_id = mysql_real_escape_string($loggedInUser->user_id); 
$story_name = mysql_real_escape_string($_POST['story_name']); 
$story  = mysql_real_escape_string($_POST['story']); 

$sql= sprintf(" 
INSERT INTO stories (author, author_id, story_name, story) 
VALUES ('%s', '%s', '%s', '%s') 
", $author, $author_id, $story_name, $story); // %s accepts the value to be a string. %d accepts a decimal for example. 

Answer 2

通過隱藏的輸入字段的形式發送userid是一個巨大的安全威脅。任何人都可以用例如Chrome的檢查員或FireBug。當有人登錄時;您必須至少將他們的user_id存儲在會話中。您還可以在會話中存儲更多信息，以便您不必在每次請求時都查詢數據庫，以便在頁面上的某處顯示登錄用戶的用戶名。

我不知道您目前如何處理登錄，但我不知道$loggedInUser是如何填充的，但它應該是會話變量，例如， $_SESSION['user']['id']。這樣你就可以知道用戶是誰，而不必通過表單發送數據;這是一個真正的不行。

請務必在每個頁面頂部有session_start()，理想情況下，您需要使用模板，並且只需將session_start()添加到index.php的頂部。

而且

$sql= " 
INSERT INTO stories (author, author_id, story_name, story) 
VALUES ('$author', '$author_id','$story_name', '$story') 
"; 

至少應該

$sql= " 
INSERT INTO stories (author, author_id, story_name, story) 
VALUES ('". $author ."', '". $author_id ."', '". $story_name ."', '". $story ."') 
"; 

而且我個人建議：

$q = " 
INSERT INTO stories 
     SET author_id = ". $_SESSION['user']['id'] ." # This is an integer (I assume) so don't use apostrophe's 
      , story_name = '". mysql_real_escape_string($_POST['story_name']) ."' 
      , story = '". mysql_real_escape_string($_POST['story']) ."' 
"; 

從表中刪除字段author。只需使用author_id進行表引用，否則您將存儲重複數據，並且當有人更改其作者姓名時，故事中的作者姓名是過時/不正確/過時。