我想用輸入表單更新MySQL數據庫,本質上是一個用戶可以更新/更改其信息的設置頁面。使用下面的代碼,底部的echo會運行,但我沒有收到任何錯誤,但數據庫沒有更新。我在我的本地機器和服務器上都測試過它,但兩者都不起作用,儘管我不確定這與它有什麼關係。當用戶登錄時已經設置了$_SESSION['yourName']
,所以它將等於數據庫中的當前值。我知道這裏有很多sql注入漏洞,但這只是一個概念驗證代碼,並沒有準備好上線。我試圖在phpMyAdmin中運行查詢,它工作正常。使用PHP更新MySQL
PHP
if(isset($_POST['name']) || isset($_POST['password']) || isset($_POST['location']) || isset($_POST['img'])) {
//put this in an external file for a little extra security
$username = "my_username";
$password = "my_password";
$database = "database_name";
$con = mysql_connect('localhost',$username,$password);
if (!$con) {
die('Oh poop.... Could not connect: ' . mysql_error());
}
//print item from database
mysql_select_db($database, $con);
if(isset($_POST['name'])) {
$query = 'UPDATE users SET username=' . $_POST['name'] . 'WHERE username=' . $_SESSION['yourName'];
mysql_query($query);
$_SESSION['yourName'] = $_POST['name'];
}
if(isset($_POST['password'])) {
$query = 'UPDATE users SET password=' . $_POST['password'] . 'WHERE username=' . $_SESSION['yourName'];
mysql_query($query);
}
if(isset($_POST['location'])) {
$query = 'UPDATE users SET location=' . $_POST['location'] . 'WHERE username=' . $_SESSION['yourName'];
mysql_query($query);
$_SESSION['location'] = $_POST['location'];
}
if(isset($_POST['img'])) {
$query = 'UPDATE users SET img=' . $_POST['img'] . 'WHERE username=' . $_SESSION['yourName'];
mysql_query($query);
$_SESSION['img'] = $_POST['img'];
}
echo '<script type="text/javascript">alert("changes saved")</script>';
}
HTML
<form method="post">
new name: <input type="text" name="name" /><br />
new password: <input type="text" name="password" /><br />
new location: <input type="text" name="location" /><br />
new img: <input type="text" name="img" /><br />
<input type='submit' name='save' value='save' />
<input type='submit' name='logout' value='logout' />
</form>
'變種RQ =新的XMLHttpRequest(); rq.open('POST','update.php',false); rq.setRequestHeader('Content-Type','application/x-www-form-urlencoded'); rq.send('password ='+ encodeURIComponent(「'password'; - 」));'是的,我可以登錄任何帳戶!請了解有關SQL注入防護的信息,並停止將未經轉義的用戶輸入直接放入您的查詢中。編寫的語句很好,特別是考慮到PHP 5.5棄用了'mysql_'擴展。 – Ryan
...但是您看到的問題是因爲字符串周圍的引號丟失。 – Ryan