1. 首页
  2. 问答
  3. 如何使用PHP更新MySQL表格从HTML表单准备语句

如何使用PHP更新MySQL表格从HTML表单准备语句

2017-03-09 91 views
-2

我正在研究一个应用程序,并且我正在更新MySQL数据库表中的值。如何使用PHP更新MySQL表格从HTML表单准备语句

当我使用名称属性(即name="value1")的单值版本时,一切正常。但是,当我使用name属性的数组语法(name="value[]")时,出现错误。

的错误就在这里发生:

$stmt = $conn->prepare("UPDATE students SET value=value+{$_POST['value']}");

的错误是:

Error: Notice: Array to string conversion on line 8
Error: SQLSTATE[42S22]: Column not found: 1054 Unknown column 'value' in 'field list'

这是我PDOStatement对象::执行声明。

$stmt->execute(array("value", $_POST['value']));

这是我的HTML:

<input class="input" id="id1" name="value[]" type="range"> 
<input class="input" id="id2" name="value[]" type="range"> 
<input class="input" id="id3" name="value[]" type="range">

在我的表中的列被命名为值1值2值3等。

来源

2017-03-09 micom

+2

http://bobby-tables.com/ – GordonM

回答

0

警告:切勿直接从$ _POST使用任何东西! Sanitize验证所有用户输入。您在下面看到的仅用于演示目的。在查询中没有WHERE子句,整个表将被更新。

当你做到这一点在你的HTML元素<input>

name="value[]"

$_POST将收到的$_POST元素数组。因此,

$_POST['value'] //resolves to an array.

这就是为什么你得到一个错误(错误:注意:数组字符串转换),当你这样做:

$stmt = $conn->prepare("UPDATE `students` SET `value` = `value` +{$_POST['value']}");

牙套{}期间内串插值通常用于双引号。您的代码试图将数组转换为字符串。

你可能反而试试这个:

$stmt = $conn->prepare("UPDATE `students` SET `value1` = `value1` + ?");

或者,这...

$stmt = $conn->prepare("UPDATE `students` SET `value1` = `value1` + :value1");

不要把用户直接输入到一个事先准备好的声明。 PHP PDO::prepare手册页状态。

Prepares an SQL statement to be executed by the PDOStatement::execute() method. The SQL statement can contain zero or more named (:name) or question mark (?) parameter markers for which real values will be substituted when the statement is executed. You cannot use both named and question mark parameter markers within the same SQL statement; pick one or the other parameter style. Use these parameters to bind any user-input, do not include the user-input directly in the query.

您需要先对数组$_POST['values']进行一些处理。 消毒验证的数据是非常明智和最佳实践。

您的<input>元素的数据实际上就在这里。

$_POST['values'][0] //Resolves to a string. 
$_POST['values'][1] //Resolves to a string. 
$_POST['values'][2] //Resolves to a string.

错误柱未发现:在“字段列表” 1054未知列“值”建议你应该在你的表使用实际的列名。用你自己的话说,这些字段名称是value1,value2value3

当您使用PDOStatement::execute,你可以这样做只是为了看看事情正在?方式工作....

$stmt->execute([$_POST['values'][0]])     //PHP 5.4+

或者

$stmt->execute(array([$_POST['values'][0]))    //PHP 5.3 and below

如果使用命名参数,则可以试试这个。

$stmt->execute(['value1' => $_POST['values'][0]])  //PHP 5.4+

或者

$stmt->execute(array('value1' => [$_POST['values'][0])) //PHP 5.3 and below

....但我认为这种生活危险首先消毒并验证您的输入

如果你有机会使用MySQL stored procedures(比方说,对于电子商务网站)与您的PDO预处理语句的点,抬头PDOStatement::bindParam(必须使用这个变量)和PDOStatement::bindValue(可以使用一般的值,比如字符串文字)。

$stmt->bindValue(1, $variable); 
$stmt->execute();

或者......

$stmt->bindValue(:name, $variable); 
$stmt->execute();

$stmt->bindParam(1, $variable);$stmt->bindParam(:name, $variable);是使用IN/OUT参数与存储过程中最有用。

要小心。您将最终更新整个表格,因为查询中没有WHERE条件!但是,如果您希望所有记录具有相同的值,那么您可以这样做。 :-) Edgar F. Codd会说什么?

尽管可以使用循环来解决使用全部三个假设的$ _POST ['value']元素的问题,但仍然需要问为什么整个表需要为每次迭代更新。

我编辑了你的答案,看起来像这样。

if(isset($_POST['value']) && is_array($_POST['value']) && !empty($_POST['value']) && (count($_POST['value']) === 3)){ 
    foreach($_POST['value'] as $key => $value) { 
     $num = ($key + 1); 
     $stmt = $conn->prepare("UPDATE `students` SET value{$num} = ? + value{$num}"); 
     $stmt->bindValue(1, $value); 
     $stmt->execute(); 
    } 
}

虽然不全面,但至少有更好的检查正在完成。但是,这样的事情可能会更好。

if(!isset($_POST['value']) || !is_array($_POST['value']) || empty($_POST['value']) || (count($_POST['value']) !== 3)){ 
    throw new UnexpectedValueException("Something is wrong with the input in $_POST."); 
} 

foreach($_POST['value'] as $key => $value) { 
    $num = ($key + 1); 
    $stmt = $conn->prepare("UPDATE `students` SET value{$num} = ? + value{$num}"); 
    $stmt->bindValue(1, $value); 
    $stmt->execute(); 
}

来源

2017-03-09 15:57:28

+0

PDO有这么多选择。 – Melinda

0

感谢您的全面反应。我没有提到输入必须增加数据库值。但是,这是我如何使其工作。

if(isset($_POST['value'])){ 
    if(is_array($_POST['value'])) { 
    foreach($_POST['value'] as $key => $value) { 
    $stmt = $conn->prepare("UPDATE students SET value".($key+1)." = ? + value".($key+1)." "); 
    $stmt->execute(array($value)); 

    } 
}

感谢那个取消了他的答案但他给了我灵感的人!

来源

2017-03-10 08:50:30 micom

+0

您尚未筛选并验证输入。即使数组的索引都是用户输入(它们可以由用户使用开发人员工具操作)。你做了太多的假设,完全违背了使用准备好的语句的目的。如果您一次创建了一个表达式$ tempVar = $ key + 1,则不必在每次迭代中重复三次加法操作。 –

+0

您可以使用'PDOStatement :: bindParam' /'PDOStatement :: bindValue,但不能与带有参数的'PDOStatement :: execute'结合使用。它是一个或另一个。 –

+0

直接从$ _POST(即使使用循环)直接进入查询并不是最佳实践。 –

相关问题

 相关问题