javascript無法從HTML輸入標記分配隱藏的輸入元素

Question

我想從我有的表單中獲取隱藏的輸入值。除了HIDDEN元素外，表單正確傳遞所有元素。我知道他們被聲明，因爲如果我選擇頁面上的「查看源代碼」，它會向我顯示正確的值（基本上是用戶憑據）。

<form name="addExperienceForm" id="addExperienceForm" style="display:none;"> 
       Title:<input type="text" name="title" id="title" /> 
       From:<input type="text" name="startDate" id="startDate" /> 
       To:<input type="text" name="endDate" id="endDate" /> 
       Description:<textarea type="message" name="description" id="description"></textarea> 
       <input type="button" value="Submit" onclick="addUserExp()"/> 
       <input type="hidden" value="<?=$_SESSION['userID']?>" id="userID" /> 
       <input type="hidden" value="<?=$_SESSION['email']?>" id="email" /> 

function addUserExp(){ 

    //get info 
    var title = document.getElementById('title').value; 
    var startDate = document.getElementById('startDate').value; 
    var endDate = document.getElementById('endDate').value; 
    var userID = document.getElementById('userID').value; 
    var email = document.getElementById('email').value; 
    var description = document.getElementById('description').value; 

    //construct POST string with name value pair 
    var str = "title="+title+"start="+startDate+"end="+endDate+"userID="+userID+"email="+email+"desc="+description; 

    //establish XMLHTTP object 
    var req = getXMLHTTP(); 

    if(req){ 

     req.onreadystatechange = function(){ 
      if (req.readyState == 4) { 
       // only if "OK" 
       if (req.status == 200) {       
        document.getElementById('addNewExp').innerHTML=req.responseText;  


       } else { 
        alert("There was a problem while using XMLHTTP:\n" + req.statusText); 
       } 
      } 
     } 
    } 
    req.open("post", "addExperience.php", true); 
    req.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded'); 
    req.send(str); 
} 

PHP

<?php 


$title = $_POST['title']; 
$startDate = $_POST['start']; 
$endDate = $_POST['end']; 
$userID = $_POST['userID']; 
$email = $_POST['email']; 
$description = $_POST['desc']; 

$sql = "INSERT INTO `user_experience`(`user_id`, `email`, `experience_title`, `experience_desc`, `start_date`, `end_date`) 
      VALUES ('$userID', '$email', '$title', '$startDate', '$endDate', '$description')"; 

echo $sql; 

?> 

我呼應了MYSQL語句，這樣你可以看到，沒有被填充的字段。的上述輸出端產生數據時輸入到表單的情況如下：

INSERT INTO `user_experience`(`user_id`, `email`, `experience_title`, `experience_desc`, `start_date`, `end_date`) VALUES ('', '', 'test', 'Feb-2013', 'May-2013', 'test') 

Answer 1

從一開始我就可以看到一些問題。

（1）<type="text" name="endDate" id="endDate" />

我猜這應該是<input type="text" name="endDate" id="endDate" />。

（2）您的輸入沒有name屬性。 id屬性很適合造型和收集價值。但是，只有name屬性被進行提交的表單所識別。

（3）您的表單上沒有method屬性。默認情況下，瀏覽器將使用GET。然而，你期待POST。請將PHP更改爲使用$_GET而不是$_POST或（更好的選項）提供具有method屬性的表單。

幾件事情要謹記（和我的幾個眼中釘）：

（1）它總是以指定形式屬性的method一個好主意。瀏覽器的默認設置爲GET，但只有在任何可能跟隨腳步的人都清楚，看到清晰度會很高興。

（2）請，請不要使用PHP <?短標籤。其中一個不清楚，二是它不支持PHP的所有安裝，因爲它基於PHP .ini文件設置，三是它只需要添加三個字符。讓我們不要成爲懶惰的人。

希望這會有所幫助。

Answer 2

<?php 


$title = $_POST['title']; 
$startDate = $_POST['start']; 
$endDate = $_POST['end']; 
$userID = $_POST['userID']; 
$email = $_POST['email']; 
$description = $_POST['desc']; 

$sql = "INSERT INTO `user_experience`(`user_id`, `email`, `experience_title`, `experience_desc`, `start_date`, `end_date`) 
      VALUES ('$userID', '$email', '$title', '$startDate', '$endDate', '$description')"; 

echo $sql; 

?> 

改變所有$_POST到$_GET，你應該通過。

Answer 3

你需要添加在你 「名」 ATTR形成

<input type="hidden" name="userID" value="<?=$_SESSION['userID']?>" id="userID" /> 
<input type="hidden" name="email" value="<?=$_SESSION['email']?>" id="email" /> 

你有SQL注入，用途：

array_map('mysql_real_escape_string',$_POST); 

Answer 4

1. 不自己建立一個SQL字符串，用準備好的語句請，會更好的爲您的安全;）
2. 這將是更好的兼容性原因使用ajax庫（如jQuery）