0

如果我删除此代码,我的页面就会加载。但是如果我添加这个,我会从我的网络矩阵中得到一个 HTTP 错误 500。

<?php
try {    
  if(isset(['submit'])) {
    include('config.php');
    $subject = $_POST['subject'];
    $content = $_POST['editor1'];
    $date = $_POST['date'];
    $tags = $_POST['tags'];
    $author = $_POST['author'];
    $thumbnail = $_POST['thumbnail'];
    $sql = "INSERT INTO articles (Subject, Content, Date, Author, Tags, Thumbnail) VALUES ('$subject','$content','$date','$author','$tags', '$thumbnail')";
    $dbh->query($sql);   
  }
} catch(PDOException $e) {
   echo $e->getMessage();
}
?>
4

2 回答 2

2

在行

if (isset(['submit']))

缺少一个变量。您可能想使用这一行:

if(isset($_POST['submit']))

顺便说一句,您的 SQL 代码对 SQL 盲注是开放的。您应该解析参数,或者更好的是,使用准备好的语句。

$stmt = $dbh->prepare("INSERT INTO articles (Subject, Content, Date, Author, Tags, Thumbnail) VALUES (':subject',':content',':date',':author',':tags', ':thumbnail')");
$stmt->bindParam(':subject', $subject);
$stmt->bindParam(':content', $content);
// ...
$stmt->execute();
于 2012-12-30T11:47:25.337 回答
2

这不是一个声明:

if (isset(['submit']))

它应该是:

if (isset($_POST['submit']))

有机会。

无论如何,您应该将参数绑定到查询,而不是将它们硬编码到其中。

于 2012-12-30T11:47:26.083 回答