xmlHttp2功能（编码需要VAR PARAMS！）

Question

在这个页面，这个代码是，有3个细节 国家，性别一种形式，主题

这样的想法是将这些细节3送startChat.php并使php可以提取3个细节。

的代码如下

function startChat() 
      { 
      xmlHttp2 = GetXmlHttpObject(); 

      if (xmlHttp2 == null) 
       { 
       alert("Browser does not support HTTP Request"); 
       return; 
       } 

      var url = "startChat.php"; 
      var params = "country,gender,topic";<<<<<<<<<<<<<<<<<<<<<<<what coding this should be????? 
      xmlHttp2.open("GET", url, true); 
      xmlHttp2.send(params);<<<<<<<<is this correct????? 
      xmlHttp2.onreadystatechange = stateChanged2;    
      } 

，也是我需要帮助与startChat.php部分

<?php 

include('config.inc.php'); 
$preference="$_GET[params]";<<<<<<<<<<<<<<<<<<<<<<<<<<<<what coding this should be???????????????????????????????????? 

include('database.inc.php'); 
mysql_query("INSERT INTO users (inchat,preference) values('N','$preference')"); 

echo mysql_insert_id(); 

mysql_close($con); 

?> 

请帮帮忙，要真诚:(

Answer 1

首先，你应该使用POST请求而不是GET，因为从代码中可以清楚地看到这个请求应该改变服务器上的状态。

您的params变量应该以表格编码。你可以用encodeURIComponent做到这一点，就像这样：

var params = 'country=' + encodeURIComponent(userCountry) + 
      '&gender=' + encodeURIComponent(userGender) + 
      '&topic=' + encodeURIComponent(userTopic); 

其次，你应该将其插入到你的数据库之前清空数据。否则，你会暴露自己的SQL注入攻击。

<

?php 

include('config.inc.php'); 

// need to create db connection before mysql_real_escape_string is called 
include('database.inc.php'); 

$country = mysql_real_escape_string($_POST['country'], $con); 
$gender = mysql_real_escape_string($_POST['gender'], $con); 
$topic = mysql_real_escape_string($_POST['topic'], $con); 

mysql_query(" 
    INSERT INTO users(inchat, country, gender, topic) 
    VALUES('N','$country', '$gender', '$topic') 
"); 

echo mysql_insert_id(); 

mysql_close($con); 

?> 

请注意，我也改变了你的数据库结构。一般来说，最好避免将多个数据放入一个字段（DB normalization）。