如何在提交時傳遞多個變量？

Question

我有一個小表格：

//GET the unit and community id 
$UNIT = $_GET['unit']; 
$COMID = $_GET['comid']; 

...//i have echoed $UNIT and $COMID to ensure that they do have values 
... 

<form action="ModifyNoteScript.php" method="post" /> 
     <input name="Comment" type="hidden" value="<?php echo $Comment; ?>" /> 
     <input name="UNIT" type="hidden" value="<?php echo $UNIT; ?>" /> 
     <input name="COMID" type="hidden" value="<?php echo $COMID; ?>" /> 
     <textarea name="Comment" cols="55" rows="6" class="text1" id="Comment"><?php echo $Comment; ?> 
     </textarea> 
     <br /> 
     <input type="submit" name="sendnotify" class="formbutton" id="Submit" value="Replace previous note with current" /> 
     </form> 

這是它：

，你可以看到我設置的變量comment在textarea

它經過的下一頁ModifyNoteScript.php沒有問題。

然而，其他兩個變量UNIT和COMID由於某種原因，獲得通過的[blanks]

這裏是ModifyNoteScript.php樣子：

<?php 
include '../Check.php'; 
include '../CustomConnect.php'; 

$UNIT= $_POST['unit']; 
$COMID= $_POST['comid']; 
$NOTE= $_POST['Comment']; 


    $comment_update = mssql_query("UPDATE pmp_property__unit 
    SET 
    comments = '$NOTE' 
    WHERE 
    communityidy='$COMID' and 
    unit='$UNIT'") 
      or die ("Changes to Record could not be Saved."); 




?> 

爲什麼經過作爲空白兩個變量？

Answer 1

首先您的腳本對XSS攻擊開放，因爲您沒有進行任何驗證（至少這是它的表現）。

$UNIT = $_GET['unit']; // should be $_POST['UNIT'] 
$COMID = $_GET['comid']; // should be $_POST['COMID'] 

您試圖在使用POST提交它們時使用兩個GET變量，並且它們都是大寫。 請記住，GET和POST變量區分大小寫。

此外，你有一個input[type=hidden]和textarea與name和他們都提交。你應該改變其中的一個以避免混淆。

Answer 2

在ModifyNoteScript.php，在$_POST變量必須是：

$UNIT= $_POST['UNIT']; // uppercase 
$COMID= $_POST['COMID']; // uppercase 
$NOTE= $_POST['Comment']; 

Answer 3

檢查您name標籤和$_POST指標之間的差異情況。

你總是可以嘗試一個var_dump($_POST)看看你得到什麼。