1 
<h2>Search</h2> 
 <form name="search" method="post" action="<?php $_SERVER['PHP_SELF']; ?>">
 Seach for: <input type="text" name="find" /> in 
 <Select NAME="field">
 <Option VALUE="fname">First Name</option>
 <Option VALUE="lname">Last Name</option>
 <Option VALUE="info">Profile</option>
 </Select>
 <input type="hidden" name="searching" value="yes" />
 <input type="submit" name="search" value="Search" />
 </form>
  <?php 
 //This is only displayed if they have submitted the form 

 if ($_REQUEST[searching] =="yes") 
 { 
 echo "<h2>Results</h2><p>"; 

 //If they did not enter a search term we give them an error 
 if ($_REQUEST[find] == "") 
 { 
 echo "<p>You forgot to enter a search term"; 
 exit; 
 } 

 // Otherwise we connect to our Database 
 mysql_connect("localhost", "admin", "password") or die(mysql_error()); 
 mysql_select_db("oop") or die(mysql_error()); 

 // We preform a bit of filtering 
 $find = strtoupper($_REQUEST[find]); 
 $find = strip_tags($find); 
 $find = trim ($find); 

 //Now we search for our search term, in the field the user specified 
 $data = mysql_query("SELECT * FROM users WHERE upper($_REQUEST[field]) LIKE'%$find%'"); 

 //And we display the results 
 while($result = mysql_fetch_array( $data )) 
 { 
 echo $result['fname']; 
 echo " "; 
 echo $result['lname']; 
 echo "<br>"; 
 echo $result['info']; 
 echo "<br>"; 
 echo "<br>"; 
 } 

 //This counts the number or results - and if there wasn't any it gives them a little message explaining that 
 $anymatches=mysql_num_rows($data); 
 if ($anymatches == 0) 
 { 
 echo "Sorry, but we can not find an entry to match your query<br><br>"; 
 } 

 //And we remind them what they searched for 
 echo "<b>Searched For:</b> " .$find; 
 } 
 ?>

質問:

フロントエンドには次のように表示されます。

注意: 未定義の定数検索の使用 - 15 行目の D:\wamp\www\oop\test2.php で「検索」を想定

「検索」など、フォームの値を投稿する際に何か問題があることは知っていますが、修正/変更する方法はわかりました。誰でも私がそれを修正するのを手伝ってくれる?

ありがとう。

4

4 に答える 4

1

交換する

if ($_REQUEST[searching] =="yes")  


if (isset($_REQUEST['searching']) && $_REQUEST['searching'] =="yes")
于 2013-05-17T03:22:36.193 に答える
0

$_REQUEST[searching]する必要があります$_REQUEST['searching']。また、何$_REQUEST[find]ですか?(「検索」も引用符で囲む必要があります)。そして...なぜ$_REQUEST?具体的に使用してください$_POST(例: $_POST['searching'])。

そして...お願いします、お願いします(少なくとも)クエリパラメータの周りに mysql_real_escape_string() を使用してください。参照: http://php.net/manual/en/function.mysql-real-escape-string.php

例えば

$data = mysql_query("SELECT * FROM users 
  WHERE mysql_real_escape_string(upper($_POST['field']))
  LIKE'%mysql_real_escape_string($_POST['find'])%'");

本当に、MySQL を照会するより良い方法は、PHP データ オブジェクトを使用し、セキュリティを強化するために値をバインドすることです: http://php.net/manual/en/book.pdo.php

<?php
/* Execute a prepared statement by binding PHP variables */
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name, colour, calories
    FROM fruit
    WHERE calories < :calories AND colour = :colour');
$sth->bindValue(':calories', $calories, PDO::PARAM_INT);
$sth->bindValue(':colour', $colour, PDO::PARAM_STR);
$sth->execute();
?>

これには他にもあります。接続などについて読む必要があります...これはこの回答の範囲外です。

于 2013-05-17T03:16:15.123 に答える