0

我不明白为什么我的博客文章没有被编辑。我有一个类('blog'),它的方法 update_post() 带有三个参数。这是我的代码(我跳过了连接和其他部分,因为我知道它们正在工作):

<?php
class blog{
function update_post($id, $title, $contents) {
        try {
            $update = $this->db->prepare("UPDATE posts SET title = $title, contents = $contents WHERE id = $id");
            $update->execute();
        }
        catch (PDOException $e) {

        }
    }
}

$post = new blog;

if (isset($_GET['id'])) {
    if (isset($_POST['publish'])) { // If submit button is clicked
        $id = $_GET['id'];
        $title = $_POST['title'];
        $contents = $_POST['contents'];
        $post->update_post($id, $title, $contents);
    }
}
?>

编辑:所以,看来我有多个错误。上面的原始代码来自两个文件,我的 class.blog.php 文件和带有 HTML 表单的页面('edit_post.php')。经过一些实验,我发现错误必须出在edit_post页面。我用“if (1 < 2)”替换了第二个“if 语句”,然后我的帖子被更新了。这是 edit_post 页面的大部分内容。

<?php
if (isset($_GET['id'])) {
    if (isset($_POST['publicera'])) {
        $id = $_GET['id'];
        $title = $_POST['title'];
        $contents = $_POST['contents'];
        $post->update_post($id, $title, $contents);
    }
?>
<form method="post" action="edit_post.php">
    Titel:<br /> 
    <input type="text" name="title" size="80" value="<?php $post->get_title($_GET['id']); ?>"><br />
    Inlägg:<br /><textarea name="contents" rows="20" cols="80"><?php $post->get_contents($_GET['id']); ?></textarea>
    <br /><input type="submit" name="publicera" value="Publicera!">
</form>

<?php
} else {
$post->show_post_list();
}
?>

编辑#2:解决了!除了错误的 SQL 查询之外,我还需要将表单操作的值修改为action="edit_post.php?id=<?php echo $_GET['id']; ?>".

4

1 回答 1

0

您的查询失败,因为它在语法上无效。这是因为变量$title, $contents, $id作为不带引号的字符串直接传递到 PDO 准备语句中。您没有获得准备好的语句的任何安全优势,而且您的查询确实很容易受到 SQL 注入的攻击并且由于未引用变量而被破坏。

它应该使用正确绑定的参数:

function update_post($id, $title, $contents) {
    try {
        // Bind named parameters
        $update = $this->db->prepare("UPDATE posts SET title = :title, contents = :contents WHERE id = :id");
        // Pass the values in an array to execute()
        $update->execute(array(':title' => $title, ':contents' => $contents, ':id' => $id));
    }
    catch (PDOException $e) {
         // Or handle the error, assuming you have PDO setup in ERRMODE_EXCEPTION
         echo "Error in query!!!";
         print_r($this->db->errorInfo());
    }
}

如果您的应用程序的其余部分也使用像原始错误查询这样的模式(尽管如果它们有效则正确引用),建议您更新它们以使用上述绑定参数。否则,我们必须假设它们也容易受到 SQL 注入的影响。

于 2013-01-06T03:19:47.520 回答