0

我有一个正在为梦幻足球网站开发的应用程序。如果你去这里:

http://digitaldemo.net/kickass/a-results.php

您可以看到管理员在查看/编辑玩家时会看到什么。

更新 - - - - - - - - - - - - - - - - - - -

这是 a-results.php 上的相关代码,它呈现数据并应将数据传递到 qb-edit.php 上的表单:

<table cellspacing="0" cellpadding="5" border="1" width="560">
<tr style="text-align:center">
<td style="text-align:left ; width:175px">Player Name</td>
<td>Team</td>
<td>Pass Yds</td>
<td>Pass TDs</td>
<td>Int Thrown</td>
<td>Rush Yds</td>
<td>Rush TDs</td>
<td>Overall Pts</td>
<td>TFP</td>
</tr>
<?php
$result = mysql_query("SELECT ID, Player, Team, Pass_Yds, Pass_TDs, Int_Thrown, Rush_Yds, Rush_TDs, Overall_Pts, Total_Fantasy_Pts FROM ff_projections WHERE Position = 'QB' ORDER BY Pass_Yds DESC;");

while($row = mysql_fetch_array($result))
{
echo "<tr style=\"text-align:center\"><td style=\"text-align:left\">{$row['Player']}</td>";
echo "<td>{$row['Team']}</td>";
echo "<td>{$row['Pass_Yds']}</td>";
echo "<td>{$row['Pass_TDs']}</td>";
echo "<td>{$row['Int_Thrown']}</td>";
echo "<td>{$row['Rush_Yds']}</td>";
echo "<td>{$row['Rush_TDs']}</td>";
echo "<td>{$row['Overall_Pts']}</td>";
echo "<td>{$row['Total_Fantasy_Pts']}</td>";
echo "<td><form action=\"qb-edit.php\" method=\"post\"><input type=\"hidden\" name=\"ID\" value=\"". $row['ID'] ."\"><input type=\"submit\" name=\"submit\" value=\"Edit\"></form></td></tr>";
}
?>
</table>

这是 qb-edit.php 的内容:

<?php
$posted_id = $_POST['ID'];
?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Untitled Document</title>
<style>
body    { font-family:Arial, Helvetica, sans-serif ;
font-size:14px ;
}

.form   { width:350px ;
margin-auto ;
}

label   { clear:both ;
display:block ;
float:left ;
padding-right:8px ;
line-height:26px ;
}

input[type=text]    { float:right ;
width:163px ;
height:18px ;
margin:3px 0px ;
} 

input[type=text].short  { width:30px ;
margin-right:132px ;
}

input[type=submit]  { clear:both ;
float:left ;
margin-top:20px ;
margin-bottom:20px ;
}

select  { float:right ;
margin-right:118px ;
}
</style>
</head>

<body>

<div class="form">            
<?php 

echo $posted_id;

$result = mysql_query($connect, "SELECT * FROM ff_projections where ID='" . $posted_id . "'") or die ("Error in query");
if ($row = mysql_fetch_array($result)) {

echo "<form method='post' action='add_player.php'>";
echo "<label for='Player'>Player Name:</label> <input type='text' name='Player' value='" . $row['Player'] . "' />";
echo "<label for='Pass_Yds'>Pass Yds:</label> <input class='short' type='text' name='Pass_Yds' value='" . $row['Pass_Yds'] . "' />";
echo "<label for='Pass_TDs'>Pass TDs:</label> <input class='short' type='text' name='Pass_TDs' value='" . $row['Pass_TDs'] . "' />";
echo "<label for='Int_Thrown'>Int Thrown:</label> <input class='short' type='text' name='Int_Thrown' value='" . $row['Int_Thrown'] . "' />";
echo "<label for='Rush_Yds'>Rush Yds:</label> <input class='short' type='text' name='Rush_Yds' value='" . $row['Rush_Yds'] . "' />";
echo "<label for='Rush_TDs'>Rush TDs:</label> <input class='short' type='text' name='Rush_TDs' value='" . $row['Rush_TDs'] . "' />";
echo "<label for='Overall_Pts'>Overall Pts:</label> <input class='short' type='text' name='Overall_Pts' value='" . $row['Overall_Pts'] . "' />";
echo "<input type='submit' name='submit' value='Update Player' />";
echo "<input type='hidden' name='id' value='" . $row['ID'] . "' />";
echo "</form>";
}
?>
</div>


</body>
</html>

我收到一条错误消息:

PHP Warning:  mysql_query() expects parameter 2 to be resource, string given in C:\\xampp\\htdocs\\kickass\\qb-edit.php on line 55, referer: http://localhost/kickass/a-results.php

这是 qb-edit.php 的第 55 行:

$result = mysql_query($connect, "SELECT * FROM ff_projections where ID='" . $posted_id . "'") or die ("Error in query");

我要疯了,试图让这个工作......

4

3 回答 3

1

只需将他们的数据库记录的 ID 作为参数(可能作为隐藏字段)传递,然后在下一页使用它从数据库中提取他们的记录。

于 2012-05-24T18:42:34.560 回答
1

这个想法是您传递播放器的 ID(可以是 GET 或 POST 方法),我认为最好的方法是 POST,因为您可以将 ID 传递到 URL

例如:

player_id = 1 Vince Young如果您创建指向此页面的链接http://digitaldemo.net/kickass/edit_player.php?id=1它将显示编辑页面

player_id = 2 Ryan Tannehill如果您创建指向此页面的链接http://digitaldemo.net/kickass/edit_player.php?id=2它将显示编辑页面

等等等等

当然你必须考虑一些事情:

  1. 您必须创建一个名为 edit_player 的 php 文件及其上的函数。
  2. 您必须验证 SESSION['user'] 是否有权编辑播放器,如果您不检查是否有人可以打开浏览器副本并粘贴这样的链接:http://digitaldemo.net/kickass/edit_player .php?id=1 并且能够编辑您的帖子。
  3. 如果我将使用某种 md5 算法来发送用户 ID,那么我将限制入侵者。

请查看此安全指南,它将帮助您保护您的网站:

http://phpsec.org/projects/guide/

于 2012-05-24T19:10:17.473 回答
1

你的错误是在这里引起的,我相信

"SELECT * FROM ff_projections where ID='" 。$posted_id 。"'"

您在 SELECT 之前开始了双引号,这很好,但是当您到达 ID= 时,您结束了那组引号删除双引号

所以换句话说

"SELECT * FROM ff_projections WHERE ID = '$posted_id'"

代替

 "SELECT * FROM ff_projections where ID='" . $posted_id . "'"
于 2012-05-24T22:57:30.023 回答