如何通过文本框在 PHP 中执行查询 [关闭]

Question

我想使用 PHP 通过 HTML 中的文本框区域执行查询。我知道这很容易发生 SQL 注入，但我并不担心。以下是我当前代码的一部分..

SQL 输出：

<?php

mysql_connect($host, $username, $password)or die("cannot connect"); 
mysql_select_db($db_name)or die("cannot select DB");

$query = "SELECT * FROM members"; // **I want to pass the query from a textbox value **

$result = mysql_query($query);

while($row = mysql_fetch_array($result)) {  
    echo $row['username'] . $row['password']; 

}

?>

Answer 1

您已将文本框命名为 SQL 而不是 message。

<?php
if ( isset($_GET["SQL"]) ) {
  $sql = $_GET["SQL"];
  $result = mysql_query($sql);
  if($result) { 
    //show output 
  } else {
    //error
  }
}
?>

正如您已经指出的那样，这很容易导致 SQL 注入，因此强烈建议不要这样做。

Answer 2

替换这个 -- $query = "SELECT * FROM members";

有了这个 --- $query = $_REQUEST['SQL'];

Answer 3

我不会纵容任性地允许 SQL 注入。 这是您将文本字段中的值传递到 php 脚本的方式，允许您在查询中使用它。

您需要设置表单。

<form action="process.php" method="POST">
    <input type="text" name="the-field">
    <input type="submit" name="submit" value="Submit">
</form>

在你的 php 脚本 (process.php) 中，你会有这样的东西：

if(isset($_POST['submit'])) {
    $field = $_POST['the-field']; // obviously you'd sanitize it here.

    // run the query using PDO/Mysqli, etc...
}

我强烈鼓励使用 PDO 或 Mysqli 而不是已弃用的 mysql_* 函数。

以下是一些您可以参考的示例：

• PDO Tutorial for Mysql Developers
• Writing MySQL/PDO with PHP
• Why you should be using PDO....

---

这是一个 PDO 查询示例。

<?php
$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$stmt = $db->prepare("SELECT * FROM table WHERE id=? AND name=?");
$stmt->execute(array($id, $name));
$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

^(Source)