2

我有这个功能,可以将复选框中的数据插入到我的 sql 数据库中,它只是查找,但我对此很陌生,所以我想知道是否有更好/更安全(来自 sql 注入)的方法来做到这一点。我知道我应该将 PDO 与准备好的语句一起使用,但这是我稍后要解决的问题。

这是生成 html 复选框的表单:

<form action="" method="post">
<?php
    if(empty($clients) === true){   
    echo '<p>You do not have any clients yet.</p>';
    }
    else
    {
    foreach($clients as $client){
    echo'
        <input type="checkbox"  name="client_data[]" value="'.$_SESSION['user_id'].'|'.$class_id.'|'.$client['first_name'].'|'.$client['nickname'].'|'.$client['last_name'].'">
        '.$client['first_name'].' ('.$client['nickname'].') '.$client['last_name'].'
         <br />';


   } // foreach($client

} // if empty 

?>

这是调用该函数的php:

if (isset($_POST['exist_to_class'])){
if (empty($_POST['client_data']) === true){
    $errors [] = 'You much select a client to be added to the class.';
} else {
    if (isset($_POST['client_data']) && !empty($_POST['client_data']));
    foreach ($_POST['client_data'] as $cd){
     exist_client_to_class($cd);
     header('Location: view_class.php?class_id='.$class_id.' ');

} // foreach $cd

} // else

} //isset

这是我将数据插入数据库的函数:

// add existing client to class  ----------------------------------------------------
function exist_client_to_class($cd){

list($user_id, $class_id, $first_name, $last_name, $nickname) = explode('|', $cd);
mysql_query("INSERT INTO `clients` (user_id, class_id, first_name, last_name, nickname, date) 
            VALUES('$user_id', '$class_id', '$first_name', '$last_name', '$nickname', CURDATE())");

}

第一次尝试 PDO 准备好的语句:UPDATE

function exist_client_to_class($cd){

try{

$stmt = $conn->prepare('INSERT INTO clients 
(user_id, class_id, first_name, last_name, nickname, date)
VALUES (:user_id, :class_id, :first_name, :last_name, :nickname, CURDATE())
');

list($user_id, $class_id, $first_name, $last_name, $nickname) = explode('|', $cd);

$stmt->execute(array(
        ':user_id' => $user_id, 
        ':class_id' => $class_id, 
        ':first_name' => $first_name,
        ':last_name' => $last_name,
        ':nickname' => $nickname
        )
        );
}

catch(PDOException $e) {
    echo 'Error: ' . $e->getMessage();
}

}

这是数据库连接文件:

//PDO database connect
try {
$conn = new PDO('mysql:host=localhost;dbname=customn7_cm', '**********', '**********');
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$conn->exec("SET CHARACTER SET utf8");
} catch(PDOException $e) {
echo 'ERROR: ' . $e->getMessage();
}
4

2 回答 2

2

简单地说,是的。

无论如何,您都不会清理或转义您的用户数据。您正在使用旧mysql_*社区已弃用的功能。你最好的选择是开始使用PDOMysqli

阅读这篇文章:PHP 数据库访问:你做对了吗?

于 2012-11-13T15:34:00.657 回答
1

这适用于大多数 sql 注入:(来自php.net
decleration:
string mysql_real_escape_string ( string $unescaped_string [, resource $link_identifier = NULL ] )

       // 连接
       $link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password') OR die(mysql_error());
        // 询问
        $query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
        mysql_real_escape_string($user),
        mysql_real_escape_string($password));

于 2012-11-13T15:53:47.613 回答