0

我有一个提交数据的 PHP 联系表格和一封电子邮件......:

<?php 
$dbh=mysql_connect ("localhost", "username", "password") or die ('I cannot connect to the database because: ' . mysql_error());
mysql_select_db ("guest"); 

if (isset($_POST['submit'])) { 

if (!$_POST['name'] | !$_POST['email']) 
{
echo"<div class='error'>Error<br />Please provide your Name and Email Address so we may properly contact you.</div>";
}
else
{
$age = $_POST['age']; 
$name = $_POST['name'];
$gender = $_POST['gender'];
$email = $_POST['email'];
$phone = $_POST['phone'];
$comments = $_POST['comments'];

$query = "INSERT INTO contact_us (age,name,gender,email,phone,comments)
VALUES ('$age','$name','$gender','$email','$phone','$comments')";

mysql_query($query);

mysql_close();

$yoursite = "Mysite ";
$youremail = $email;

$subject = "Website Guest Contact Us Form";
$message = "$name would like you to contact them 
                            Contact PH:  $phone
Email:  $email
Age: $age
Gender: $gender
Comments:  $comments";

$email2 = "my@email.com";

mail($email2, $subject, $message, "From: $email");

echo"<div class='thankyou'>Thank you for contacting us,<br /> we will respond as soon as we can.</div>";

}
}
?>

电子邮件很好,但数据没有存储数据库......我错过了什么吗?它与我在另一个联系我们页面上使用的脚本相同,唯一的区别是不是解析同一页面上的数据,我现在将此数据发送到“thankyou.php”页面...我尝试将 $_POST 更改为 $_GET但这杀死了页面......我做错了什么?

4

2 回答 2

3

首先,您必须在将数据注入 SQL 查询之前对其进行转义。

这可以使用mysql_real_escape_string函数来完成,如下所示:

$name = mysql_real_escape_string($_POST['name']);
// ... same for other fields that contain strings
$comments = mysql_real_escape_string($_POST['comments']);


这将确保数据中的引号被转义,并且首先不要与 SQL 查询中围绕字段数据的引号混淆。

其次,这将帮助您防止SQL 注入


此外,如果在执行查询期间发生错误,mysql_query将返回false——这意味着您应该测试该函数返回的值——以可能记录错误的原因:

$result = mysql_query($query);
if ($result === false) {
    // An error has occured...
    echo mysql_error();
}

注意:在这里,我只是显示了错误消息——但您应该在将应用程序投入生产之前将错误记录在某处(例如,记录到文件中):您的用户不需要(也不希望)看到任何技术错误信息 !

于 2010-03-11T21:15:56.663 回答
0

检查结果mysql_query(...)以查看它是否失败。如果它没有失败,MySQL 肯定会为您存储信息。

于 2010-03-11T21:22:23.877 回答