0

我目前正在构建一个获取唯一值并将其用作登录名(即参考号)的系统。然后参考号搜索数据库并将所有相应的数据输出到另一个页面,我正在努力解决这个问题,我的代码是:

索引.PHP 

<input name="search_box"  type="text" class="auto-style1" id="search_box" style="width: 240px; height: 30px" maxlength="12">

<input type="submit" name="search" value="Enter" class="auto-style1" style="width: 63px; height: 30px"></td>
<?php $reasons = array("search_box" => "Please Enter Valid Reference Number", "" => "Error"); if ($_GET["loginFailed"]) echo $reasons[$_GET["reason"]]; ?>

</form>

检查.php

 <?php
include "conn.php";

mysql_connect("localhost","root") or die(header("location:index.php?loginFailed=true&reason=search_box"));
mysql_select_db("DB1") or die(header("location:index.php?loginFailed=true&reason=search_box"));

$reference1 = $_POST['search_box'];

$sql = "SELECT * FROM test_table1 WHERE No =$R1";
$result = mysql_query($sql) or die(mysql_error());
    if ($result)
    $count = mysql_num_rows($result);
    else
    $count = 0;

if($count == 1)
 {
  session_register('search_box');
  header("location:result.php");
  }
else 
{
echo (header("location:index.php?loginFailed=true&reason=search_box"));
 }
 ?>

输出.php

 <?php
include "conn.php";

$sq2 = "SELECT * FROM test_table1";
if (isset($_POST['search']))
 {
    $search_term = mysql_real_escape_string($_POST['search_box']);

    $sq2 .= "WHERE No =  '{$search_term}'";
}

$query= mysql_query($sq2, $con);

while($row = mysql_fetch_array($query)) { ?>
&nbsp;<font size="4" face="Calibri"><b> Ref Number:   </b> </font><?php echo $row['No']; ?></td>
<p>
&nbsp;<font size="4" face="Calibri"><b> Location:   </b></font><?php echo $row['Country']; ?></td>
<p>

<?php
mysql_close($con);
?>

你们能给予的任何帮助将不胜感激,谢谢。

QWERTY。

4

2 回答 2

1

您的问题(您现在可能想知道的问题(因为似乎还有更多潜在的问题和漏洞利用))在Output.php.

在您从Login_check.php(因为您正在重定向浏览器)调用该文件时,您的$_POST数组不再包含任何数据。

为了让自己更轻松,为什么不include "Output.php";通过 重定向浏览器headers()呢?这样您就不需要再次重新初始化会话或数据库Output.php

但是,如果您需要此重定向,请在会话初始化后存储您的$_POST['search']to $_SESSION['search'],然后参考$_SESSION['search']inOutput.php而不是(如您现在所拥有的那样)$_POST['search']

希望能有所帮助。

于 2013-03-16T19:33:51.220 回答
0

所以我假设你有一张桌子donations,上面有一些donId(参考号)捐赠、donName捐赠者、donCountry捐赠者来自哪个国家以及donAmount他们捐赠了多少钱。您的文件看起来像这样(我不会为 html 的所有正确标头而烦恼,因此结果不会是 w3c 有效的 html,但它应该可以在您的浏览器中正常工作。

我想我必须说你不应该使用mysql_query和所有其他mysql_...功能来代替mysqli_*。下面的代码虽然仍在使用旧的这些天已经弃用的 mysql_ 函数,所以将它相应地升级到 mysqli 符合您的利益(这是一项家庭作业;)哈哈)


文件donInfo.php

<html>
<body>
<form action='donInfo.php' method='post'>
    <label for='donId'>Reference No.:</label>
    <input type='text' size='6' name='donId' id='donId' value='' />
    <input type='submit' name='do' value='  Show me!  ' style='margin-left:2em;'/>
</form>

<?php
    /* table definition: 
    CREATE TABLE donations (
        donId int unsigned not null,
        donCountry varchar(80) not null,
        donName varchar(80) not null,
        donAmount numeric(11,2) not null,
        PRIMARY KEY (donId)
    )
    */
    if (!isset($_POST['do']) || !isset($_POST['donId']) || !$_POST['donId']) 
        exit;

    require_once 'connection.php';

    $don=mysql_fetch_assoc(
        mysql_query('SELECT * '.
            'FROM donations '.
            'WHERE donId="'.mysql_real_escape_string($_POST['donId'],$con).'"',$con));
    if ($don===false || !$don['donId'])
        print '<h3>Donation id #'.$_POST['donId'].' does not exist!</h3>';
    else {
        print '<h3>Information about donation id #'.$_POST['donId'].'</h3>'.
            'State: '.$don['donCountry'].'<br/>'.
            'Donator: '.$don['donName'].'<br/>'.
            'Amount: $ '.number_format($don['donAmount'],2).'<br/>'.
            '<hr/>';

        $sumP=mysql_fetch_assoc(
            mysql_query('SELECT SUM(donAmount) total, COUNT(*) donx '.
                'FROM donations '.
                'WHERE donName="'.mysql_real_escape_string($don['donName'],$con).'" '.
                'GROUP BY donName',$con));
        print '<h4>Donations from '.$don['donName'].':</h4>'.
            'Total Amount: $ '.number_format($sumP['total'],2).'<br/>'.
            'Donated <b>'.number_format($sumP['donx'],0).'</b> times to date.<br/>'.
            '<hr/>';

        $sumC=mysql_fetch_assoc(
            mysql_query('SELECT SUM(donAmount) total, COUNT(DISTINCT donName) donators, COUNT(*) donx '.
                'FROM donations '.
                'WHERE donCountry="'.mysql_real_escape_string($don['donCountry'],$con).'" '.
                'GROUP BY donCountry',$con));
        print '<h4>Donations from '.$don['donCountry'].':</h4>'.
            'Total Amount: $ '.number_format($sumC['total'],2).'<br/>'.
            'Total of <b>'.number_format($sumC['donx']).'</b> donations from <b>'.number_format($sumC['donators'],0).'</b> donators.<br/>'.
            '<hr/>';

        $sumW=mysql_fetch_assoc(
            mysql_query('SELECT SUM(donAmount) total, COUNT(DISTINCT donName) donators, COUNT(DISTINCT donCountry) countries, COUNT(*) donx '.
                'FROM donations '.
                'GROUP BY 1=1',$con));
        print '<h4>Donations Total:</h4>'.
            'Total Amount: $ '.number_format($sumW['total'],2).'<br/>'.
            'Total of <b>'.number_format($sumW['donx']).'</b> donations from <b>'.number_format($sumW['countries'],0).'</b> countries and <b>'.number_format($sumW['donators'],0).'</b> donators.<br/>'.
            '<hr/>';        
    }
?>
</body>
</html>

我已经测试了代码,所以它应该可以正常工作。我正在使用您的connection.php脚本(我猜)您正在初始化数据库。

简短描述它的作用:要求提供一个 ID,然后在提交时检查它是否存在,如果是,它将打印有关该捐赠 ID 的信息、该 ID 的用户信息、该 ID 的国家和捐赠总额统计。如果捐赠 ID 不存在,它会在等待输入另一个 ID 时说:不存在。

于 2013-03-18T21:21:11.393 回答