1. 首页
  2. 问答
  3. null列保护免受sql注入

null列保护免受sql注入

2016-06-07 138 views
0

嗨,我在我的网站有一个联系表单,用户可以选择性地填写一些字段,并在点击提交按钮数据保存到数据库,所有这一切工作正常,直到我决定从SQL注入消毒我的代码,我在第一次试图从SQL注入消毒它,它工作正常,因为我表现出下面的代码之前提到null列保护免受sql注入

<form method="Post" action=""> 
 
     <input type="text" name="name" />name 
 
     <select dir="rtl" style="width: 173px;" name="case" > 
 
     <option value="" disabled selected hidden>اplease choose</option> 
 
     <option value='rent'>rent</option> 
 
     <option value='sell'>sell</option> 
 
      </select > 
 
      <input type="checkbox" name="check1" value='a'>apartment<br> 
 
     <input type="submit" value="submit" /> 
 
     </form> 
 
<?php 
 
include("config.php"); 
 
    if(isset($_POST['submit'])){ 
 

 
     $date_clicked = date('Y-m-d H:i:s'); 
 

 
    } 
 
    //insert to database 
 
    \t $insert =mysqli_query($connect,"INSERT INTO $db_table VALUES (to simplify code i do not write this part)"); 
 

 
    } 
 
    ?>
现在我必须填写所有的下拉列表和复选框,否则它给出错误“列”不能为空“。我也不能在数据库中插入日期和时间,它会给出同样的错误。这里是我的代码时,我保护它弗朗SQL注入: 
<form method="Post" action=""> 
 
    <input type="text" name="name" />name 
 
    <select dir="rtl" style="width: 173px;" name="case" > 
 
    <option value="" disabled selected hidden>اplease choose</option> 
 
    <option value='rent'>rent</option> 
 
    <option value='sell'>sell</option> 
 
     </select > 
 
     <input type="checkbox" name="check1" value='a'>apartment<br> 
 
    <input type="submit" value="submit" /> 
 
    </form> 
 

 
    <?php 
 
    include("config.php"); 
 
    if(isset($_POST['submit'])){ 
 

 
     $date_clicked = date('Y-m-d H:i:s'); 
 

 
    } 
 
    if(isset($_POST['submit'])){ 
 
    //insert to database 
 
    $query = mysqli_prepare($connect, "INSERT INTO $db_table VALUES (?,?,?,?)"); 
 
     /* bind parameters for markers */ 
 
     mysqli_stmt_bind_param($query, "ssss", $_POST[name],$_POST['check1'],$_POST['case'],$_POST['date_clicked']); 
 
    // execute query 
 
    if (mysqli_stmt_execute($query)) { 
 
     echo "Successfully inserted " . mysqli_affected_rows($connect) . " row"; 
 
    } else { 
 
     echo "Error occurred: " . mysqli_error($connect); 
 
    } 
 

 
    } 
 

 

 
    ?>

请帮我

来源

2016-06-07 Malekian

+0

'$ _POST [name]'应该是'$ _POST [“name”]',这是在您的原始代码中,还是只是在您粘贴在代码中的错字? – apokryfos

+0

不是原来的那个,它是$ _POST [“name”] – Malekian

+0

确保没有任何PHP警告。例如,只有当复选框被设置时,才会设置'$ _POST [“check1”]',这样你会在那里得到一个PHP警告,这会使该行中的其余代码行为不当。此外,请确保您的数据库表允许可选字段中的空值。 – apokryfos

回答

1

确保您存在变数。这是必要的,因为您的复选框,例如,如果不选中,它将为空,这可能是您正在使用的表的问题。您可以设置默认值,然后插入它。

$name = !empty($_POST['name']) ? $_POST['name'] : ''; 
$check1 = !empty($_POST['check1']) ? $_POST['check1'] : ''; 
$case = !empty($_POST['case']) ? $_POST['case'] : ''; 
$date_clicked = date('Y-m-d H:i:s'); 

// prepare and bind 
$stmt = $connect->prepare("INSERT INTO `$db_table` (`name`, `check1`, `case`, `date_clicked`) VALUES (?, ?, ?, ?)"); 
$stmt->bind_param("ssss", $name, $check1, $case, $date_clicked); 

$stmt->execute(); 
$stmt->close();

来源

2016-06-07 08:17:16 timhysniu

+0

非常感谢您的回答下拉列表和复选框现在工作正常,但日期和时间变量无法正常工作,只能在数据库中保存0000-00-00 00:00:00。我现在知道为什么。你可以帮我吗? – Malekian

+0

我刚刚意识到生成日期并不是来自表单。我修改了我的答案。 – timhysniu

+0

非常感谢你的工作:) – Malekian

相关问题

 相关问题