-5

PHP フォームを完成させた後、データベースに次の行を挿入しました。

INSERT INTO guitarwars VALUES (0, NOW(), '$name', '$score');

問題は、入力したフォームの名前ではなく、PHP ページに $name が表示されることです。

LE: index.php、addscore.php: index.phpの 2 つのファイルがあります。

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guitar Wars - High Scores</title>
<link rel="stylesheet" type="text/css" href="style.css" />
</head>
<body>
<h2>Guitar Wars - High Scores</h2>
<p>Welcome, Guitar Warrior, do you have what it takes to crack the high score list? If so, just <a href="addscore.php">add your own score</a>.</p>
<hr />

<?php
// Connect to the database 
$dbc = mysqli_connect('localhost', 'root', '', 'guitar');

// Retrieve the score data from MySQL
$query = "SELECT * FROM guitarwars";
$data = mysqli_query($dbc, $query);

// Loop through the array of score data, formatting it as HTML 
echo '<table>';
while ($row = mysqli_fetch_array($data)) { 
// Display the score data
echo '<tr><td class="scoreinfo">';
echo '<span class="score">' . $row['score'] . '</span><br />';
echo '<strong>Name:</strong> ' . $row['name'] . '<br />';
echo '<strong>Date:</strong> ' . $row['date'] . '</td></tr>';
if(is_file($row['screenshot']) && filesize($row['screenshot'])>0) {
echo '<td><img src="'.$row['screenshot'].'" alt="Score image" /></td></tr>';
}
else {
echo '<td><img src="unverified.gif" alt="Unverified score" /></td></tr>';
}
}
echo '</table>';

mysqli_close($dbc);
?>

</body> 
</html>

そしてaddscore.php

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guitar Wars - Add Your High Score</title>
<link rel="stylesheet" type="text/css" href="style.css" />
</head>
<body>
<h2>Guitar Wars - Add Your High Score</h2>

<?php
if (isset($_POST['submit'])) {
// Grab the score data from the POST
$name = $_POST['name'];
$score = $_POST['score'];

if (!empty($name) && !empty($score)) {
  // Connect to the database
  $dbc = mysqli_connect('localhost', 'root', '', 'guitar');

  // Write the data to the database
  $query = "INSERT INTO guitarwars VALUES (0, NOW(), '$name', '$score')";
  mysqli_query($dbc, $query);

  // Confirm success with the user
  echo '<p>Thanks for adding your new high score!</p>';
  echo '<p><strong>Name:</strong> ' . $name . '<br />';
  echo '<strong>Score:</strong> ' . $score . '</p>';
  echo '<p><a href="index.php">&lt;&lt; Back to high scores</a></p>';

  // Clear the score data to clear the form
  $name = "";
  $score = "";

  mysqli_close($dbc);
}
else {
  echo '<p class="error">Please enter all of the information to add your high score.</p>';
}
}
?>

<hr />
<form enctype="multipart/form-data" method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<input type="hidden" name="MAX_FILE_SIZE" value="32768" />
<label for="name">Name:</label>
<input type="text" id="name" name="name" value="<?php if (!empty($name)) echo $name; ?>" /><br />
<label for="score">Score:</label>
<input type="text" id="score" name="score" value="<?php if (!empty($score)) echo $score; ?>" />
<input type="file" id="screenshot" name="screenshot" />
<hr />
<input type="submit" value="Add" name="submit" />
</form>
</body> 
</html>

私は、addscore.php からフォームを完成させ、スコアの写真を掲載した後、INSERT INTO guitarwars VALUES (0, NOW(), '$name', '$score'); を使用しました。データベースで、PHP スクリプトから値を挿入します。次に、index.php には、$name ではなく、フォームに入力した名前が表示されます。

4

1 に答える 1

4

変数は補間されていません。これは、クエリが一重引用符または NOWDOC (またはその他の理由) を使用していることを意味します。PDO/mysqli を介して適切にパラメータ化されたクエリを使用することをお勧めします。私は前者の方がずっと好きです。

$pdo = new PDO('mysql:host=localhost;dbname=dbname', 'user', 'pass');
$stmt = $pdo->prepare("INSERT INTO guitarwards VALUES (0, NOW(), ?, ?)");
$stmt->execute(array($name, $score));

また、挿入する列をリストして、おそらく最初の 2 つを省略できます。

于 2013-02-28T17:38:17.617 に答える