0

我有一个非常烦人的问题。每当我编辑帖子时,一次编辑时,它会丢失所有信息。搞不明白,搞了2天。

下面是表单代码:

<?php 
$post = htmlspecialchars($_GET["id"]);


$name = $_SESSION['Username'];
if (in_array($name, $allowedposters)) {
$results = mysql_query("SELECT * FROM tool WHERE id = $post");
    while($row = mysql_fetch_array($results)){


$title= $row['title'];
$details= $row['details'];
$date= $row['date'];
$author= $row['author'];
$id= $row['id'];



echo "<a href=story.php?id=";
echo $post;
echo ">Cancel edit</a> <br><br><b>";
echo $title;
echo "</b> <br><br>";
echo '
<form action="edit-new.php?story=';
echo $id;
echo '" method="post" enctype="multipart/form-data">
<textarea rows="1" cols="60" name="title" wrap="physical" maxlength="100">';
echo $title;
echo '</textarea><br>';
?>



<textarea rows="30" cols="60" name="details" wrap="physical" maxlength="10000">
<?php 
echo $details;
echo '</textarea><br>';

echo '<label for="file">Upload featured image:</label><br>
      <input type="file" name="file" id="file" />';
echo'<br><input type="submit" />';
}

} else {
  echo "Not enough permissions.";
}
?>

. .

这是实际的 php 代码,将信息插入数据库:

. .

<?php
   $post = $_GET['story'];
   $title = $_POST['title'];
   $details = $_POST['details'];
         echo 'Updated.';
    $dbtype     = "mysql";
    $dbhost     = "localhost";
    $dbname     = "x";
    $dbuser     = "xx";
    $dbpass     = "xxx";
    $conn = new PDO("mysql:host=$dbhost;dbname=$dbname",$dbuser,$dbpass);
    $sql = "UPDATE  tool SET title=:title, details=:details WHERE id = '$post'";
        $q = $conn->prepare($sql);
        $q->execute(array(
        ':details'=>$details,
        ':title'=>$title,
         ));
?>

再次,我想提一下,唯一的问题是,我一次编辑帖子时,它会丢失它的信息。在那之后,它永远不会发生在那个特定的帖子上。

在那之后,编辑工作完美无缺。

4

1 回答 1

0

这并不能直接回答您的问题 - 了解您实际获取的$_GET['id']内容、数据库上运行的实际 SQL 以及表单生成的内容是什么样的会很有用。

然而:

$post = htmlspecialchars($_GET["id"]);

是错的。htmlspecialchars转义数据以输出到客户端。为 SQL 编码特殊字符并不能保护您免受 SQL 注入攻击。

由于$post预计是一个整数(大概),这就足够了:

$post = (int)$_GET['id'];

但一定要检查是否返回了一个有效的整数,如果不是,则抛出一个适当的错误。

不要忘记再次执行此操作edit-new.php- 更好的是,使用参数化值,就像您为titleand所做的那样details

最后,您应该使用htmlspecialchars转义$details$title形式。否则内容 like</textarea>将无法正确显示,并且您容易受到 XSS 漏洞的攻击(例如,后跟<script>alert("I'm going to do bad things now");</script>

于 2012-05-29T23:24:39.827 回答