PHP:将值从窗体插入MySQL
我从终端创建了一个users表,mysql然后尝试创建简单的任务:从表单中插入值。这是我的dbConfig file
这是我的Index.php。
<link rel="stylesheet" type="text/css" href="style.css">
<title>test</title>
<?php
include_once 'dbConfig.php';
?>
Password
按下我的保存按钮后,什么也没有发生,数据库仍然为空。我尝试echo'ing了INSERT查询,当它被认为它从形式的所有值。在尝试从终端检查是否可以正常工作后,我登录到sql尝试从用户表返回所有数据的操作,但得到了空集。
写回答
-
以下代码仅声明了一个包含MySQL查询的字符串变量:
$sql = "INSERT INTO users (username, password, email) VALUES ('".$_POST["username"]."','".$_POST["password"]."','".$_POST["email"]."')"; 它不执行查询。为此,您需要使用一些功能,但让我先解释一下。
永远不要信任用户输入:永远不要将用户输入(例如来自$_GET或的表单输入$_POST)直接附加到查询中。有人可以以这种方式小心地操作输入,以免对您的数据库造成严重损害。这就是所谓的SQL注入。您可以在这里了解更多信息
为了保护脚本免受此类攻击,您必须使用“预处理语句”。有关准备好的声明的更多信息,请点击此处
将准备好的语句包括在您的代码中,如下所示:
$sql = "INSERT INTO users (username, password, email) VALUES (?,?,?)"; 注意如何将?用作值的占位符。接下来,您应该使用mysqli_prepare以下语句准备语句:
$stmt = mysqli_prepare($sql); 然后开始将输入变量绑定到准备好的语句:
$stmt->bind_param("sss", $_POST['username'], $_POST['email'], $_POST['password']); 最后执行准备好的语句。(这是实际插入的地方)
$stmt->execute(); 注意尽管不是问题的一部分,但我强烈建议您不要以明文形式存储密码。相反,您应该使用password_hash存储密码的哈希值来源:stack overflow
2020-05-11 16:43:24赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
