我在phpMyAdmin中创建了一个小型数据库(1个表)。我要检查的字段之一是"名称"。我想通过PHP验证用户在表单中键入的名称是否存在于数据库中。在html中,会显示DB中的名称列表,但用户可能在表单中键入了错误的名称。问题在于它是否存在的答案各不相同。
我有两个PHP文件:Connection.php和welcome.php
连接
<html>
<head>
<title>Project</title>
</head>
<body>
<?php
mysql_connect("localhost","root","");
mysql_select_db("e-card");
$sql=mysql_query("SELECT * FROM person");
$dbname="name";
#$formula_adr="formula_adr";
#$adress="adr";
$line=mysql_fetch_assoc($sql);
echo'Choose a name to whom you send e-card:<br/><br/>';
echo $line[$dbname].'<br/>';
while($line=mysql_fetch_assoc($sql))
echo $line[$dbname].'<br/>';
?>
<form action="welcome.php" method="POST">
Nume: <input type="text" name="fname" />
<input type="submit" value="Verify existance in DB"/>
</form>
</body>
</html>
欢迎:
<?php
mysql_connect("localhost","root","");
mysql_select_db("e-card");
$sql=mysql_query("SELECT * FROM persoana");
$dbname="name";
$formula_adr="formula_adr";
$adresa="adr";
$linie=mysql_fetch_assoc($sql);
if ($_SERVER['REQUEST_METHOD']=='POST' and isset($_POST['fname']))
{
$name = $_POST['fname'];
while($line=mysql_fetch_assoc($sql))
{
if(strcmp($name,$line[$dbname]))
{
echo 'Found';
}
else
{
echo 'This name doesn't exist in DB';
}
}
}
?>
提前感谢^_-
<?php
mysql_connect(HOST, USERNAME, PASSWORD);
mysql_select_db(DB_NAME);
if($_POST) {
$name = $_POST['fname'];
// check if name exists in db
$sql = "SELECT name FROM person WHERE name=' . mysql_real_escape_string($name) . '";
$query = mysql_query($sql);
if(mysql_num_rows($query) > 0) {
// user exists
} else {
// user does not exist
}
}
上面的脚本将起作用,还将通过使用内置的mysql_real_sescape_string方法来保护您的脚本不受SQL注入的影响。我还建议在以这种方式验证数据时不要使用通配符(*)选择器,因为查询任何未使用的附加信息都是浪费资源。
我会按照这些步骤进行高级步骤。
1-在调用DB之前,首先使用javascript在客户端检查是否输入了内容。您可以在javascript中使用过滤器来检查该表单字段。
2-如果您确认输入了*有用的内容-将表单字段值传递给另一个页面或对象,该页面或对象将解析该值,然后查询该表。
3-对包含数据的db表列使用解析后的值。如果找到记录,请将其返回。
使用SQL注入技术来防止用户在表单字段中键入恶意内容。
$sql=mysql_query("SELECT * FROM persoana where name like '$name%'");
只有当您有一个匹配的时,您才会得到结果