PHP更新數據，其中有ID匹配

Question

我正在從上一頁的URL傳遞一個id，然後嘗試更新該id行中的數據庫值。我覺得我很接近。當我添加到更新查詢中時，我可以更新值librarian_fname特定的ID號碼，但是當我嘗試通過代碼傳遞該值時，它不能選擇它，因爲當我使用id = '$id'時它不會更新。不知道我做錯了什麼。如果這不是完美的，我仍然在學習如此原諒我。

<?php 
$id = $_GET['id']; 
echo $id; 
?> 
    <?php 
    // This function will run within each post array including multi-dimensional arrays 
function ExtendedAddslash(&$params) 
{ 
     foreach ($params as &$var) { 
      // check if $var is an array. If yes, it will start another ExtendedAddslash() function to loop to each key inside. 
      is_array($var) ? ExtendedAddslash($var) : $var=addslashes($var); 
      unset($var); 
     } 
} 

// Initialize ExtendedAddslash() function for every $_POST variable 
ExtendedAddslash($_POST); 

      $librarian_fname = $_POST['librarian_fname']; 
      $id = $_POST['id']; 
?> 

     <?php 
     if(isset($_POST['add'])) { 
      $dbhost = 'localhost'; 
      $dbuser = ''; 
      $dbpass = ''; 
      $conn = mysql_connect($dbhost, $dbuser, $dbpass); 

      if(! $conn) { 
       die('Could not connect: ' . mysql_error()); 
      } 
      $sql = "UPDATE table SET librarian_fname = '$librarian_fname' WHERE id = '$id'"; 
      mysql_select_db('Events'); 
      $result = mysql_query($sql, $conn); 

      if(! $result) { 
       die('Could not enter data: ' . mysql_error()); 
      } 

      mysql_close($conn); 
      header("Location: search.php"); 
     } 

     else { 
      ?> 

      <?php 
// define variables and set to empty values 
$librarian_fname = $id = ""; 

if ($_SERVER["REQUEST_METHOD"] == "POST") { 
    $librarian_fname = test_input($_POST["librarian_fname"]); 
    $id = test_input($_POST["id"]); 
} 

function test_input($data) { 
    $data = trim($data); 
    $data = stripslashes($data); 
    $data = htmlspecialchars($data); 
    return $data; 
} 

?> 
<form method="post" action="<?php echo htmlspecialchars($_SERVER[" PHP_SELF "]);?>"> 
        <legend><b>Appointment Topic</b></legend> 
        <input type="hidden" name="id" value="<? echo $id; ?>"> 
        <label for="librarian_fname">First Name <em>*</em></label> 
        <input type="text" name="librarian_fname" size="50" required="no" validateat="onsubmit" message="Please enter your first name."> input name = "add" type = "submit" id = "add" value = "Submit"> 
       </form> 
       <?php 
     } 
     ?> 

Answer 1

試試這個

<form method="post" action="<?php echo htmlspecialchars($_SERVER[" PHP_SELF "]);?>"> 
         <legend><b>Appointment Topic</b></legend> 
         <input type="hidden" name="id" value="<?php echo $_GET['id']; ?>"> 
         <label for="librarian_fname">First Name <em>*</em></label> 
         <input type="text" name="librarian_fname" size="50" required="no" validateat="onsubmit" message="Please enter your first name."> <input name = "add" type = "submit" id = "add" value = "Submit"> 
         <input type="reset" name="resetButton" id="resetButton" vvalue="Reset Form" style="margin-right: 20px;" /> 
    </form> 

Answer 2

我想的問題之一可能是TABLE是一個MySQL的保留字。

https://dev.mysql.com/doc/refman/5.5/en/keywords.html

如果我們要使用保留字作爲標識符（如表名），則必須進行轉義。 MySQL中用於轉義標識符的規範模式是將它們包含在單個反引號字符中，例如，

UPDATE `table` SET 

無論標識符是否爲保留字，這都有效。最好是爲表格使用不同的名稱。

---

請注意代碼似乎很容易受SQL注入的影響。併入到SQL語句的文本潛在不安全的值必須正確轉義（例如，使用mysqli_real_escape_string）

https://xkcd.com/327/

優選的模式是不合併值插入到SQL文本，而是使用製備的聲明與綁定佔位符。