jQuery - 保存到SQL通過PHP

Question

這可能很容易爲你們，但我不明白。 我想將圖像的文件名保存到它自己的SQL基本行中。

基本上，我登錄到我有我自己的用戶ID的網站。 並且每個用戶都有自己的背景圖像列。如果用戶願意，用戶可以選擇他自己的圖像。所以基本上，當用戶點擊他想要的圖像時，發生了一個jquery點擊事件，並且ajax調用了一個php文件，該文件應該處理實際更新。每個用戶的行總是存在，所以只需要更新數據。

首先，我收集css屬性'background-image'的文件名並將其分開，以便只獲取文件名。我則該文件名存儲在一個變量我稱之爲「文件名」，然後將其傳遞給這個jQuery的片段：

$.ajax({ 
     url: 'save_to_db.php', 
     data: filename, 
     dataType:'Text', 
     type: 'POST', 
     success: function(data) { 
      // Just for testing purposes. 
      alert('Background changed to: ' + data); 
    } 

    }); 

這是保存數據的PHP：

<?php 
require("dbconnect.php"); 

$uploadstring = $_POST['filename']; 

mysql_query("UPDATE brukere SET brukerBakgrunn = '$uploadstring' WHERE brukerID=" .$_SESSION['id']); 
mysql_close(); 
?> 

基本上，每個用戶都有自己的ID，這被稱爲「brukerID」 表一切都在被稱爲「brukere」和我應該更新的列是一個叫做「brukerBakgrunn」

當我剛剛運行的JavaScript代碼段，我得到這個消息框作爲回報重新它說：

背景改爲：
警告：在session_start（）[function.session啓動]： 無法發送會話緩存限制器 - 頭已經發出（輸出在 /VAR開始 /www/clients/client2/web8/web/save_to_db.php:1） 在 /var/www/clients/client2/web8/web/access.php 上線

這是dbconnect.php

<?php 
$con = mysql_connect("*****","******","******"); 
if (!$con) 
    { 
    die('Could not connect: ' . mysql_error()); 
    } 

mysql_select_db("****", $con); 
require("access.php"); 
?> 

這是access.php：

<?php 
// Don't mess with ;) 
session_start(); 

if($_REQUEST['inside']) session_destroy(); 

session_register("inside"); 
session_register("navn"); 
if($_SESSION['inside'] == ""){ 
    if($_POST['brukernavn'] and $_POST['passord']){ 
    $query = "select * from brukere where brukerNavn='" . $_POST['brukernavn'] . "' and brukerPassord = md5('" . $_POST['passord'] ."')"; 
    $result = mysql_query($query);  
    if(!$result) mysql_error(); 
    $rows = @mysql_num_rows($result); 
     if($rows > 0){ 
    $_SESSION['inside'] = 1; 
    $_SESSION['navn'] = mysql_result($result,"navn"); 
    $_SESSION['id'] = mysql_result($result,"id"); 
    Header("Location: /"); 
    } else { 
    $_SESSION['inside'] = 0; 
    $denycontent = 1; 
    } 
    } else { 
    $denycontent = 1; 
    } 
} 

if($denycontent == 1){ 
include ("head.php"); 
print(' 
<body class="bodylogin"> 
    content content content  
</body> 
'); 
include ("foot.php"); 
exit; 
} 
?> 

Answer 1

mysql_query("UPDATE brukere SET brukerBakgrunn = $uploadstring WHERE brukerID=" .$_SESSION['id'] .""; 

應該

mysql_query("UPDATE brukere SET brukerBakgrunn = $uploadstring WHERE brukerID=" .$_SESSION['id']); 

右括號丟失和引號（ 「」）是無用的。

閱讀關於SQL injection爲了讓您的應用安全。

編輯：（？之間的部分>和< PHP）

<?php 
require("dbconnect.php") 
?> 

<?php 

此代碼發送一個換行符到輸出（這是一樣的回聲「\ n」），這是不允許的，如果你想因此寫入會話變量。

Answer 2

你在你的mysql_query行中忘記了關閉'）'！

mysql_query("UPDATE brukere SET brukerBakgrunn = $uploadstring WHERE brukerID=" .$_SESSION['id']); 

您在查詢結束時也不需要「。」。

Answer 3

重大安全問題！

您沒有引用和轉義輸入到MySQL查詢。我可以輕鬆地破解結尾，堆棧另一個查詢，並刪除整個數據庫！

此外，您在mysql_query()末尾缺少結尾圓括號。

Answer 4

刪除空行的session_start（）之前：

?> 

<?php 

Answer 5

require("dbconnect.php") 

應該

require("dbconnect.php"); 

Answer 6

原來的錯誤是由於在需要對線路缺少分號。

正如其他人所說，你需要了解sql注入和使用佔位符。避免使用提交的數據而不使用佔位符或首先轉義的習慣。

Answer 7

<?php 
//require_once("dbconnect.php"); 

$uploadstring = $_REQUEST['filename']; 

$db_pswd = 'xxx-xxx-xxx'; 
$db_user = 'john_doe'; 
$db_table = 'my_table'; 

$con = mysql_connect('localhost' , $user , $pswd); 
if (!$con) 
    { 
    die('Could not connect: ' . mysql_error()); 
    } 

mysql_select_db($db_table , $con); 

mysql_query(" UPDATE brukere SET brukerBakgrunn = '".$uploadstring."' 
WHERE brukerID = '".$_SESSION['id']."' "); 

mysql_close($con); 
?> 

我認爲你需要使用新鮮的代碼！你的感覺妥協了！ ;-)）