0

我完全按照我们老师在线讲座的方式制作了一个函数。但它不起作用,错误消息首先说有一个变量丢失。所以我检查了它,在 w3schools 上他们说你需要连接作为变量和字符串。所以我添加了连接,但后来我得到一个错误,说变量 vas 未定义。我尝试将函数放在 php-document 中的不同位置,但我不知道如何解决这个问题,请帮忙?

我的代码(我删除了我的密码):

<?php

// A function to help prevent SQL Injection.
function preparePostData($value)
{
// Removes slashes (/) if the server automaticlly adds them.
if(get_magic_quotes_gpc()){
$value = stripslashes($value);
}

/* Adds quote marks if the value is not numeric or a numeric string. 
mysqli_real_escape_string adds slashes (/) if there is any character thats not allowed 
and then the text string will not be processed in MySQL. */
if(!is_numeric($value)){
$value = "'" . mysqli_real_escape_string($dbConn, $value) . "'";
}

return $value;
}

// If the submit button is set do this..
if(isset($_POST['saveNews'])){

// Connection to db
$dbConn = mysqli_connect("localhost","sabe0011","password","sabe0011");

// Check connection
if(mysqli_connect_errno($dbConn)){
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}

// SQL question
$insertSQL = "INSERT INTO News (NewsId, Headline, News, Date) VALUES ('NULL',".preparePostData($_POST['newsHeader']).",".preparePostData($_POST['news']).",".preparePostData($_POST['newsDate']).");";

if(mysqli_query($dbConn, $insertSQL)){
echo "Nyheter har sparats";
}

else{
echo "Följande fel uppstod " . mysqli_error() . ".";
}
}

// Connection to db
$dbConn = mysqli_connect("localhost","sabe0011","password","sabe0011");

$dbConn->set_charset("utf8");

// Check connection
if(mysqli_connect_errno($dbConn)){
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}

$newsSQL = mysqli_query($dbConn,"SELECT * FROM News ORDER BY Date;");

echo "<div>";

if(mysqli_num_rows($newsSQL) > 0)
{   
while($rowNews = mysqli_fetch_array($newsSQL)){
echo '<h2>' . $rowNews["Headline"] . '</h2>' . '<time>' . $rowNews["Date"] . '</time>' . '<p>' . $rowNews["News"] . '</p>';
}
}

else{
echo "Inga nyheter hittades";
}

echo "</div>";
?>
4

2 回答 2

0

如果您在脚本顶部进行连接,则需要以某种方式将其传递给您的函数。你有两个选择。要么让它成为你函数中的参数。function reparePostData($value,$dbconn);或者你可以在函数内部声明你的连接一个全局变量,并允许函数在函数内部访问这个变量global $dbconn;

于 2013-05-11T17:20:01.383 回答
-2

您以错误的方式使用此功能。

mysqli_real_escape_string与 POST 数据无关。只有魔术引号可以。

所以,你必须把这个函数一分为二:

  1. 一种从魔术引号中清除您的 POST 数据的方法

  2. 一种产生正确的字符串文字

    function prepareSQLliteral($value)
{
  if(!is_numeric($value)){
    global $dbConn;
    $value = "'" . mysqli_real_escape_string($dbConn, $value) . "'";
  }
  return $value;
}

但是,使用手动格式化不是要走的路。
不必对全局变量进行相同的处理,而是对要查询的值进行相同的处理。只有准备好的语句才能做到这一点。

但是因为 mysqli 准备好的语句是非常不可用的,你必须使用PDO来代替。

于 2013-05-11T17:16:31.000 回答