我正在尝试创建一个脚本,让用户输入他们的用户名,然后让其他登录的用户名随机显示,在chatroulette的方式。
所以,你将输入你的名字并点击提交,然后你的名字将被存储在数据库中,其他人的名字将被随机取出并显示。然后用户可以点击下一步按钮查看另一个随机用户名。当用户关闭页面时,他们的名字将从系统中卸载。
我所尝试的是创建一个简单的帖子提交表单,它将返回到您的名字登录的同一页面,并将您的名字插入mysql数据库。这工作。
然后我添加了一些PHP代码来检测name变量是否已设置,并通过查找数据库中的用户数量和使用随机整数来查找数据库中的随机用户名。我很确定它工作了,但是我无法获得用户名显示与echo "$name";。
然后我尝试添加一个自动注销使用:
<body onUnload=<?php session_destroy();?>>
那没有用。我没有创建next按钮,因为我遇到了一些问题,因为我发现注销不起作用,因为我将从数据库中删除行,当新行被添加到SQL数据库时,这些行不会再次填充,因为自动增量函数会导致显示空白页。
下面是我的代码:<html>
<head>
<title>random name</title>
</head>
<body>
<center>
<h1>random name</h1>
<h5>By DingleNutZ</h5>
</center>
<?php
if (!isset($_POST['name'])){
echo "<form action='"index.php'" method='"POST'" name='"form'"><center><h4>name:</h4><input name='"name'" id='"name'" type='"text'"/><br/>
<input type='"submit'" name='"submit'" value='"Play!'"/></center></form>";
}else{
$name = $_POST['name'];
$host="localhost"; // Host name
$username="root"; // Mysql username
$password=""; // Mysql password
$db_name="ftr"; // Database name
$tbl_name="players"; // Table name
// Connect to server and select databse.
mysql_connect("$host", "$username", "$password")or die("cannot connect");
mysql_select_db("$db_name")or die("cannot select DB");
// To protect MySQL injection (more detail about MySQL injection)
$name = stripslashes($name);
$name = mysql_real_escape_string($name);
$sql="SELECT * FROM $tbl_name WHERE name='$name'";
$result=mysql_query($sql);
// Mysql_num_row is counting table row
$count=mysql_num_rows($result);
if($count==1){
session_register("name");
session_start();
if(session_is_registered(name)){
$players=mysql_query("SELECT MAX (id) FROM $tbl_name");
$chooserand=rand(1,$players);
$callee=mysql_query("SELECT name FROM $tbl_name WHERE id=$chooserand");
echo "$callee";
echo "<a href='"index.php?playing=1'">Logout</a>";
if (isset($playing)){
if ($playing == 1){
$drop_name=mysql_query("DELETE FROM $tbl_name WHERE name=$name");
}}
}
}
echo "show random name here";
}
?>
</body>
</html>
有一个名为$playing的变量,它试图退出系统。
我将非常感谢任何答案。提前感谢。
,因为我没有让它明显(对不起的家伙),我需要解决我的主要问题,这是能够显示一个随机用户,而没有显示一个空白页,由于从数据库中删除的行。为了保护隐私,必须从系统中删除用户名
你的代码中有一些问题,不是所有的都是错误,有些代码是不必要的,其他代码是潜在的危险。
$name = stripslashes($name); <<-- delete this line.
$name = mysql_real_escape_string($name); <<-- this is all you need.
mysql_real_escape_string()是所有你需要的。不需要其他转义来防止sql注入。
这里有几个注意事项,我将在下面讨论。
$sql="SELECT * FROM $tbl_name WHERE name='$name'";
$result=mysql_query($sql);
Select *是一个反模式,不要在生产代码中使用它。显式选择所需的字段。
你正在使用动态表名,我看不出有这个必要,而且这也是一个危险的sql注入漏洞。
千万不要使用它,但如果必须使用,请参阅如何保护代码:如何防止使用动态表名进行SQL注入?
你执行查询,但不测试它是否成功,在那里放一个测试:
$sql = "SELECT id FROM users WHERE name='$name' ";
$result = mysql_query($sql);
if ($result)
{
$row = mysql_fetch_array($result);
$user_id = $row['id'];
}
else { do stuff to handle failure }
您正在尝试从数据库中获取数据,但这不是这样做的方式:
$players = mysql_query("SELECT MAX (id) FROM $tbl_name");
$chooserand = rand(1,$players);
$callee = mysql_query("SELECT name FROM $tbl_name WHERE id=$chooserand");
echo "$callee";
但是我看到了一些问题:
请停止使用dyname表名,这是一个非常糟糕的主意。
mysql_query的返回值是一个query_handle,而不是你要查询的实际数据。
我建议转义所有值,无论是来自代码外部还是内部;我知道这有点偏执,但是这样的话,如果你的代码设计改变了,你就不会忘记把转义放进去。
永远不要在echo语句中回显未经处理的数据。
如果返回$var,则始终使用htmlentities对其进行消毒。如果你不XSS安全漏洞将是你的命运。参见:在PHP站点中避免xss攻击的最佳实践是什么
将代码重写为:
$result = mysql_query("SELECT MAX (id) as player_id FROM users");
$row = mysql_fetch_array($result);
$max_player = $row['player_id'];
$chooserand = mysql_real_escape_string(rand(1,$max_player));
//not needed here, but if you change the code, the escaping will already be there.
//this also makes code review trivial for people who are not hep to SQL-injection.
$result = mysql_query("SELECT name FROM users WHERE id = '$chooserand' ");
$row = mysql_fetch_array($result);
$callee = $row['name'];
echo "callee is ".htmlentities($callee);
最后你从表中删除行,这看起来像一个非常奇怪的事情,但这是可能的,但是你的代码不工作:
$drop_name = mysql_query("DELETE FROM $tbl_name WHERE name=$name");
如前所述,mysql_query不返回值。在之上,只有 SELECT查询返回结果集,DELETE只返回成功或失败。
所有的$vars必须加引号,这最好是一个语法错误,最坏的情况是一个sql注入漏洞。
从技术上讲,整数不必是整数,但我还是坚持引用和转义它们,因为它使您的代码保持一致,从而更容易检查正确性,并且在更改代码
时消除了出错的机会。将代码重写为:
$drop_name = $name;
$result = mysql_query("DELETE FROM users WHERE id = '$user_id' ");
//user_id (see above) is unique, username might not be.
//better to use unique id's when deleting.
$deleted_row_count = mysql_affected_rows($result);
if ($deleted_row_count == 0)
{
echo "no user deleted";
} else {
echo "user: ".htmlentities($drop_name)." has been deleted";
}