0

我有一件很简单的事情要去这里。基本查询,但是当我决定更进一步时,我向自己抛出了一条曲线。

基本上它是这样的:

  • 检查用户是否在表单中输入了值
  • 如果不是,则退出并显示基本错误
  • 如果他们这样做了,则根据数据库检查该值以确保它有效/存在
  • 如果它有效/存在,设置一个会话变量并去订单表格
  • 如果不是,则退出并显示基本错误

我现在要做的是在那里添加另一个签到,如果用户 ID 存在,那么我需要检查订单状态,如果他们已经下单,那么我想退出并显示一条简单的消息让他们知道他们已经下订单并正在处理中。如果他们还没有订购,那么我想继续上面的订购单。

数据库有一个名为“ordered”的字段,如果他们已订购,则为 1,如果尚未订购,则为 0。

这是我正在运行的代码,我尝试了几件事,但它一直在爆炸:

    <?php
    session_start();
    $db_host = 'localhost';
    $db_username = 'xxxxxx';
    $db_password = 'xxxxxxxx';
    $db_name = 'xxxxxxxx';

    mysql_connect( $db_host, $db_username, $db_password) or die(mysql_error());
    mysql_select_db($db_name); 

    if ($_SERVER['REQUEST_METHOD'] == "POST") {
        /** Check whether the user has filled in the text field "employee_id" */
        if ($_POST['employee_id'] == "") {
            $IdIsEmpty = true;
        }else{ 
            $employee_id = $_POST['employee_id'];  
            if(mysql_num_rows(mysql_query("SELECT employee_id FROM TABLE_2         WHERE         employee_id = '$employee_id'"))){
                // if userid exists
                $_SESSION['emp_id'] = $employee_id;
                header('Location: orderform.php');
            exit;
            }
            $IdNotFound = true;
        }
    }?>

    <head>
    </head>
    <body>
    <b>Please enter your Employee ID: </b><br><br>
    <form class="" action="index.php" method="post" enctype=
    "multipart/form-data" name="test_form" id="test" accept-charset=
    "utf-8"><input type="text" name="employee_id">
        <?php
        /** Display error messages if "employee_id" field is empty or if ID does not         exist */
        if ($IdIsEmpty) {
            echo ("<br>");
            echo ("<b>Enter your employee ID, please!</b>");
            echo ("<br>");
        }?>
        <?php
        /** Display error messages if "employee_id" field is empty or if ID does not exist */
        if ($IdNotFound) {
            echo ("<br>");
            echo ("<b>Your employee ID not found!</b>");
            echo ("<br>");
        }?>

        <input type="submit" value="Submit">
    </form>
</body>
</html>
4

1 回答 1

0

除了像 Shivan 建议的那样交换mysql_功能外mysqli_,您还应该这样做:

  • 转义任何输入 - 你永远不能信任用户提供的数据,所以
    $employee_id = mysql_real_escape_string($_POST['employee_id']);
    如果它是一个数字,你也可以这样做
    $employee_id = intval($_POST['employee_id']);
    只要在使用输入时记住这一点。

  • 现在解决您的问题:

只需ordered在同一查询中选择您的字段:

$order_qry = mysql_query("
    SELECT employee_id, ordered 
    FROM TABLE_2 WHERE employee_id = '$employee_id'
");
if(mysql_num_rows($order_qry)) {
    $order = mysql_fetch_object($order_qry);
    if( ! $order->ordered) { // If not ordered
        // ... do something
    } else { // If already ordered
    // ... tell the client
    }
} else {
// No record found ... error message here
}
于 2013-04-24T02:27:54.973 回答