【发布时间】:2012-08-20 18:30:03
【问题描述】:
我知道关于这个问题已经有多个关于 SO 的问题,我已经研究过它们,但没有得到令人满意的答案。所以这是我的问题,
我有一个由几个文本框和复选框组成的表单。看起来是这样的,
用户可以选择多个复选框。我正在尝试将这些复选框的 值(不是显示的文本字符串)插入 MySQL 表中。它应该是这样的,
一个服务 ID(SID)可以有多个位置(Loc_Code)。这些位置代码(CO、GQ)是复选框的值。
到目前为止,我已经编写了以下代码。
<html>
<head>
</head>
<body>
<?php
require_once("db_handler.php");
$conn = iniCon();
$db = selectDB($conn);
/* Generating the new ServiceID */
$query = "SELECT SID FROM taxi_services ORDER BY SID DESC LIMIT 1";
$result = mysql_query($query, $conn);
$row = mysql_fetch_array($result);
$last_id = $row["SID"];
$id_letter = substr($last_id, 0, 1);
$id_num = substr($last_id, 1) + 1;
$id_num = str_pad($id_num, 3, "0", STR_PAD_LEFT);
$new_id = $id_letter . $id_num;
//Selecting locations
$query = "SELECT Loc_Code, Name FROM districts";
$result = mysql_query($query, $conn);
$count = mysql_num_rows($result);
?>
<?php
if(isset($_POST["savebtn"]))
{
//inserting the new service information
$id = $_POST["sid"];
$name = $_POST["name"];
$cost = $_POST["cost"];
if($_POST["active"] == "on") $active = 1; else $active = 0;
$query = "INSERT INTO taxi_services(SID, Name, Cost, Active) VALUES('$id', '$name', '$cost', '$active')";
$result = mysql_query($query, $conn);
//inserting the location details
for($j = 0; $j < $count; $j++)
{
$loc_id = $_POST["checkbox2"][$j];
$query = "INSERT INTO service_locations(SID, Loc_Code) VALUES('$id', '$loc_id')";
$result5 = mysql_query($query, $conn);
}
if (!$result || !$result5)
{
die("Error " . mysql_error());
}
else
{
?>
<script type="text/javascript">
alert("Record added successfully!");
</script>
<?php
}
mysql_close($conn);
}
?>
<div id="serv">
<b>Enter a new taxi service</b>
<br/><br/>
<form name="servForm" action="<?php $PHP_SELF; ?>" method="post" >
<table width="300" border="0">
<tr>
<td>Service ID</td>
<td><input type="text" name="sid" readonly="readonly" value="<?php echo $new_id; ?>" style="text-align:right" /></td>
</tr>
<tr>
<td>Name</td>
<td><input type="text" name="name" style="text-align:right" /></td>
</tr>
<tr>
<td>Cost</td>
<td><input type="text" name="cost" style="text-align:right" onkeypress="return isNumberKey(event)" /></td>
</tr>
<tr>
<td>Active</td>
<td><input type="checkbox" name="active" /></td>
</tr>
</table>
</div>
<div id="choseLoc">
Locations <br/><br/>
<table border="0">
<?php
$a = 0;
while($row = mysql_fetch_array($result))
{
if($a++ %5 == 0) echo "<tr>";
?>
<td align="center"><input type="checkbox" name="checkbox2[]" value="<?php echo $row['Loc_Code']; ?>" /></td>
<td style="text-align:left"><?php echo $row["Name"]; ?></td>
<?php
if($a %5 == 0) echo "</tr>";
}
?>
</table>
</div>
<br/>
<div id="buttons">
<input type="reset" value="Clear" /> <input type="submit" value="Save" name="savebtn" />
</form>
</div>
</body>
</html>
它会正确插入服务详细信息。但是当它插入位置数据的时候,就会出现这样的问题,
我选择了 4 个复选框并保存。 4 个位置代码与服务 ID 一起保存。但是从上面的截图可以看出,也插入了一堆空行。
我的问题是如何阻止这种情况发生?如何仅从我选择的复选框中插入数据?
谢谢。
【问题讨论】:
-
您的代码容易受到 SQL 注入的攻击。您确实应该使用prepared statements,将变量作为参数传递给其中获得 SQL 评估。如果您不知道我在说什么或如何解决它,请阅读Bobby Tables 的故事。
-
另外,如the introduction 中关于
mysql_*函数的PHP 手册章节所述:不建议使用此扩展来编写新代码。相反,应该使用mysqli 或PDO_MySQL 扩展名。在选择 MySQL API 时,另请参阅 MySQL API Overview 以获得更多帮助。 -
您是否尝试过检查
$_POST变量来检查提交的内容? -
@eggyal:是的,我知道 SQL 注入。但这只是数据库的一个小前端,唯一的用户就是我。它不在线。但是感谢您的提醒:)
-
@Truth:你是说这一行的
$_POST?$loc_id = $_POST["checkbox2"][$j];