1

編集:更新!最初の部分が機能しました。ただし、同じIF()ステートメント内の他の変数もチェックする方法がわかりません。誰かがそれを手伝ってくれますか?単一のifステートメントは、入力とまったく同じ名前のクラスを拒否します。ただし、同じ日数と時間数を拒否するためにも必要です。

        <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Register Diver</title>
<link rel="stylesheet" href="php_styles.css" type="text/css" />
<meta http-equiv="content-type"
content="text/html; charset=iso-8859-1" />
</head>
<body>
<h1>Aqua Don's Scuba School</h1>
<h2>Registration Confirmation</h2>
<?php
$DiverID = $_GET['diverID'];
if (empty($DiverID))
    exit("<p>You must enter a diver ID! Click your browser's Back button to return to the previous page.</p>");
$DBConnect = @mysqli_connect("localhost", "students", "password")
    Or die("<p>Unable to connect to the database server.</p>"
    . "<p>Error code " . mysqli_connect_errno()
    . ": " . mysqli_connect_error()) . "</p>";
$DBName = "scuba_school";
@mysqli_select_db($DBConnect, $DBName)
    Or die("<p>Unable to select the database.</p>"
    . "<p>Error code " . mysqli_errno($DBConnect)
    . ": " . mysqli_error($DBConnect)) . "</p>";

$TableName = "registration";
$SQLstring = "SELECT * FROM $TableName";
$QueryResult = @mysqli_query($DBConnect, $SQLstring);
if (!$QueryResult) {
    $SQLstring = "CREATE TABLE registration (diverID SMALLINT, class VARCHAR(40), days VARCHAR(40), time VARCHAR(40))";
    $QueryResult = @mysqli_query($DBConnect, $SQLstring)
        Or die("<p>Unable to create the registration table.</p>"
        . "<p>Error code " . mysqli_errno($DBConnect)
        . ": " . mysqli_error($DBConnect)) . "</p>";
    echo "<p>Successfully created the registration table.</p>";
}
?>

<?php
$Class = $_GET['class'];
$Days = $_GET['days'];
$Time = $_GET['time'];
$DiverID = $_GET['diverID'];

$DBConnect = mysqli_connect("localhost", "students", "password");
$DBName = "scuba_school";
@mysqli_select_db($DBConnect, $DBName)
    Or die("<p>Unable to select the database.</p>"
    . "<p>Error code " . mysqli_errno($DBConnect)
    . ": " . mysqli_error($DBConnect)) . "</p>";


$sqlString= "SELECT * FROM `registration` WHERE `diverID` = $DiverID AND `class` = '$Class' AND `days` = '$Days' AND `time` = '$Time'";
$QueryResult = mysqli_query($DBConnect, $sqlString) or die("MySQL error: " . mysqli_error($DBConnect) . "<hr>\nQuery: $QueryResult");  
$row = mysqli_fetch_assoc($QueryResult);

if ($row["class"] == $Class)
{

echo "<p>You are already registered for $Class</p>";
    }

    elseif($row["days"] == $Days && $row["time"] == $Time)
    {
        echo "<p>There is a conflict with $Days or $Time</p>";
        }
else
{
 $SQLstring = "INSERT INTO $TableName VALUES('$DiverID', '$Class', '$Days', '$Time')";
    $QueryResult = @mysqli_query($DBConnect, $SQLstring);
    echo "<p>You are registered for $Class on $Days, $Time. Click your browser's Back button to register for another course or review your schedule.</p>";
}


mysqli_close($DBConnect);
?>

</body>
</html>
4

3 に答える 3

0

「これらの詳細で全員を検索する」というクエリを使用してから、「誰かが見つかった場合=悪い、そうでない場合=良い」と言います。例:

SELECT ID FROM $TableName WHERE DiverID = '$DiverId', class = '$class', days='$Days' LIMIT 1

次に、そのクエリを実行します。何か(if(count($results) > 0)...)が見つかった場合は、エラー(または何でも)が表示されます。誰も見つからなかった場合は、詳細を追加しても安全です。

ボーナス: 補足として、PDO(mysql_*関数はPHPランドではサポートされなくなりました)を調べて、データベースクエリに入る前に入力をフィルタリングしてサニタイズするようにしてください(そのためのグーグル)

于 2012-11-15T23:42:33.703 に答える
0

クエリ後の状態が悪い

//change this
if ($row['class'] == "$Class")
{
    echo "<p>You are already registered for $Class</p>";
}

//to this
if(!empty($row))
{
    if ($row['class'] == "$Class")
        echo "<p>You are already registered for $Class</p>";
}
于 2012-11-15T23:46:18.497 に答える
0

あなたの問題はここにあります:

SELECT * FROM $TableName WHERE `diverID` = $DiverID

を無視して、それに一致するすべてのレコードをデータベースにクエリしています。これは、たとえば、あるダイバーが別のクラスに登録されている場合、クエリがそのレコードを取得する場合としない場合があることを意味します。あなたは何かのようなものが欲しい:diverIDclass

// this is for simplicity's sake only; please escape your input in your code!!

$sql = "SELECT * FROM $TableName WHERE `diverID` = $DiverID AND `class` = '$Class'"
$query = mysqli_query($sql);

if (mysqli_num_rows($query)) {
    // already registered
} else {
    // not registered, insert
}

そうは言っても...

  1. 使用しないでください@(エラー抑制)。本番環境でのエラー報告をオフにしますが、これ(エラーの抑制)はひどいものです。

  2. コードをSQLインジェクションに対して脆弱なままにしないでください。何も逃げようとはしていません。さらに悪いことに、を使用している$_GETため、CSRF攻撃に対して脆弱なままになっています。

  3. その場でテーブルを作成しないでください。スクリプトを実行する前に、テーブル構造を準備しておく必要があります。どちらかといえば、セットアップスクリプトで作成する必要があります。

于 2012-11-15T23:47:03.737 に答える