0

我正在创建一个电子商务网站,你们中的一些人可能会觉得这很平常。基本上,我有一个示例鞋,尺码从 8-13 开始,但每个尺码都有不同的价格。我使用 jquery 根据用户选择的鞋码来更改价格。

当用户点击添加到购物车时,鞋码会发布到购物车页面,然后我使用下面的查询根据价格查找价格。

根据所选鞋码查询价格 

SELECT Product.Name as ProductName, Category.Name, size, Price
FROM Itemised_Product, Product, Category
WHERE Product.ProdID =:item_id
AND size= :size AND Category.Name = :Category Limit  1");

问题 由于安全原因,为什么我使用选择大小来查找价格,但问题是有人可以使用 java 脚本注入将大小的值更改为 0,然后他们添加到购物车......除了购物车什么都不会显示表仍然会出现

Name                  Category                   Shoes type                 Price







                                                          Total price: $ 0.00

摘要 基本上它们是用户更改购物车表上不会显示的值的一种方式。还是一种即使值发生更改,也将正确的值发布到购物车页面的方式?

谢谢

4

1 回答 1

-1

在添加到购物车之前如何检查值(大小)?

加入购物车前的步骤:

SELECT size
FROM Itemised_Product, Product
WHERE Product.ProdID =:item_id

-> 将其保存到数组(或某个对象) -> 检查从客户收到的大小是否在该数组中

if(in_array($_POST('size'), $array_of_sizes))
{ 
    //add to cart
}
于 2013-07-09T14:06:16.837 回答