我是PHP/SQL编码的新手,我完全不知道为什么这个编码不起作用.数据库本身是由我的大学制作的,所以我只是想连接它(我不确定我是否能够放弃细节,所以我把连接编码拿出来.我处于基本级别所以沉重的技术语言将超越我的头脑,但任何建议将不胜感激!
我试图将一个链接到PHP文件的表单中的结果插入到数据库表中.我不确定我是否需要在PHP文件中放置任何内容来说明这一点?但这是我的代码:
connect_error) {
die("Connection failed: " . $conn->connect_error);
}
echo "Connected successfully";
// Connect to database
$sql = "SELECT runnerid, position, eventid, date, finishtime, categoryid, agegrade, pb FROM Results";
$result = $conn->query($sql);
if ($result->num_rows > 0) {
// output data of each row
while($row = $result->fetch_assoc()) {
{
echo "| Runner ID | Position | Event ID | Date | Finish Time | Category ID | Age Grade | Personal Best |
|---|---|---|---|---|---|---|---|
| "; echo $row['runnerid']; echo " | "; echo $row['position']; echo " | "; echo $row['eventid']; echo " | "; echo $row['date']; echo " | "; echo $row['finishtime']; echo " | "; echo $row['categoryid']; echo " | "; echo $row['agegrade']; echo " | "; echo $row['pb']; echo " |
我甚至尝试了没有$_POST编码的代码来添加新数据,但这也没有用.
没有人提到的是,鉴于你的代码,我可以轻松地用一个请求消灭你的整个数据库.以下是您需要做的以防止SQL注入攻击:
$sql = "INSERT INTO Results VALUES (?, ?, ?, ?, ?, ?, ?, ?)";
$stmt = $conn->prepare($sql);
$stmt->bind_param('iiississ', $_POST["runnerid"], $_POST["position"], $_POST["eventid"], $_POST["date"], $_POST["finishtime"], $_POST["categoryid"], $_POST["agegrade"], $_POST["pb"]);
$result = $stmt->execute();
if (!$result) {
die('Could not insert data: ' . $conn->error);
}
阅读准备好的陈述:
绑定变量与查询分开发送到服务器,因此不会干扰它.在解析语句模板之后,服务器直接在执行点使用这些值.绑定参数不需要进行转义,因为它们永远不会直接替换为查询字符串.必须向服务器提供绑定变量类型的提示,以创建适当的转换.
京公网安备 11010802040832号 | 京ICP备19059560号-6 