Php / Jquery 表单和数据表

Posted 2023-02-24

【中文标题】Php / Jquery 表单和数据表

【英文标题】：Php / Jquery Forms & Datatables

【发布时间】：2012-02-21 18:20:37

【问题描述】：

希望有人可以提供帮助。我有一个客户数据库表，我试图使用 jquery 数据表在页面上显示它。该页面还将包含一个我可以输入数据的表单，这将更新数据库并显示在下表中。我有 3 个正在使用的文件。代码如下：

index.php

    <html> 
    <head> 
    <link rel="stylesheet" type="text/css" href="style.css">
    <script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.6/jquery.js"></script>
    <script type="text/javascript" language="javascript" src="jquery.dataTables.js"></script>
    <script type="text/javascript" charset="utf-8">
            /* Table initialisation */
            $(document).ready(function() 
                $('#datatable').dataTable( 
                    "sDom": "<'row'<'span8'l><'span8'f>r>t<'row'<'span8'i><'span8'p>>"
                );
            );
    </script>
    <script type="text/javascript" language="javascript" src="jquery.form.js"></script>
    <script type="text/javascript"> 
        // prepare the form when the DOM is ready 
            $(document).ready(function()  
            // bind form using ajaxForm 
            $('#htmlForm').ajaxForm( 
                // target identifies the element(s) to update with the server response 
                target: '#datatable', 
                resetForm: 'true',

                // success identifies the function to invoke when the server response 
                // has been received; here we apply a fade-in effect to the new content 
                success: function()  
                    $('#datatable').fadeIn('slow'); 
                 
            );
        ); 
    </script>
</head>
<body>

        <form id="htmlForm" action="customers.php" method="post">
                First:  <input type="text" name="first" /><br/>
                Last:   <input type="text" name="last" /><br/>
                Phone:  <input type="text" name="phone" /><br/>
                Mobile: <input type="text" name="mobile" /><br/>
                Fax:    <input type="text" name="fax" /><br/>
                Email:  <input type="text" name="email" /><br/>
                Web:    <input type="text" name="web" /><br/><br/>
            <input id="btnReload" value="Add Customer" type="submit"> 
        </form>
        <br />

<!---------------------
<-- CUSTOMER TABLE ----
----------------------->

    <?php
    //mysql Database Connect
     include 'customers.php';
    ?>

</body>
</html>

customers.php

    <?php

    //MySQL Database Connect
    include 'config.php';

    $_POST['first'] = "undefine"; 
    $_POST['last'] = "undefine"; 
    $_POST['phone'] = "undefine"; 
    $_POST['mobile'] = "undefine"; 
    $_POST['fax'] = "undefine"; 
    $_POST['email'] = "undefine"; 
    $_POST['web'] = "undefine"; 

    $sql="INSERT INTO contacts (first, last, phone, mobile, fax, email, web)
    VALUES
    ('$_POST[first]','$_POST[last]','$_POST[phone]','$_POST[mobile]','$_POST[fax]','$_POST[email]','$_POST[web]')";

        if (!mysql_query($sql,$db))
            
                die('Error: ' . mysql_error());
            

            $query="SELECT * FROM contacts";
            $result=mysql_query($query);


?>
<h2>Customers Table</h2>
<?php

    $query="SELECT * FROM contacts";
    $result=mysql_query($query);

?>

    <table cellpadding="0" cellspacing="0" border="0" class="bordered-table zebra-striped" id="datatable">
        <thead>
            <tr>
                <th>First</th>
                <th>Last</th>
                <th>Phone</th>
                <th>Mobile</th>
                <th>Fax</th>
                <th>Email</th>
                <th>Web</th>
            </tr>
        </thead>

    <?php   
    $num=mysql_numrows($result);

    $i=0;
    while ($i < $num) 

        $first=mysql_result($result,$i,"first");
        $last=mysql_result($result,$i,"last");
        $phone=mysql_result($result,$i,"phone");
        $mobile=mysql_result($result,$i,"mobile");
        $fax=mysql_result($result,$i,"fax");
        $email=mysql_result($result,$i,"email");
        $web=mysql_result($result,$i,"web");

        ?>
            <tbody>
                <tr>
                    <td><?php echo $first ?></td>
                    <td><?php echo $last ?></td>
                    <td><?php echo $phone ?></td>
                    <td><?php echo $mobile ?></td>
                    <td><?php echo $fax ?></td>
                    <td><?php echo $email ?></td>
                    <td><?php echo $web ?></td>
                </tr>

    <?php
    $i++;
    

?>

config.php

    <?php
$mysql_hostname = "localhost";
$mysql_user = "root";
$mysql_password = "";
$mysql_database = "address";
$prefix = "";
$db = mysql_connect($mysql_hostname, $mysql_user, $mysql_password) or die("Could not connect database");
mysql_select_db($mysql_database, $db) or die("Could not select database");
?>

当我输入数据时表单正在更新表时，它工作得相当好，但每次我重新加载页面时，都会将空白记录插入数据库。有人可以就这个问题的最佳解决方案提出建议。

【问题讨论】：

另外，你really, really shouldn't use the mysql_* functions。每当您需要插入用户提交的内容时，您应该使用parameterized queries。

非常感谢您的链接，每天都在学习更多！

【参考方案1】：

正在插入空行，因为即使未提交表单，您的插入代码也会运行。您可以通过在插入之前检查以确保它是 POST 操作来解决此问题：

include 'config.php';

if($_SERVER['REQUEST_METHOD'] == 'POST') 
    // your insertion code here


//or even better:
if (!empty($_POST)) 
    //insertion code


$query="SELECT * FROM contacts";
$result=mysql_query($query);
...

但是，您有一个更严重的问题，即您没有清理输入。如果有人在您的web 字段中输入'); DELETE FROM contacts; 怎么办？这称为 SQL 注入攻击。

为避免这种情况，您应该使用准备好的语句或使用mysql_real_escape_string 来保护您的应用程序免受此类攻击。

【讨论】：

jburbage，如果他正在加载整个表格，我猜这是一个仅限管理员的部分。如果不是，那么这是一笔大买卖。

@Levi 在管理部分中，注入的威胁较小，但它仍然可能是一种威胁，并且您仍然希望清理以允许在您的字段中使用撇号（等）。虽然我提出它主要是因为他似乎将其作为一种教育练习，而且现在正是学习 SQL 注入的最佳时机！

大家好，非常感谢，这已经解决了这个问题。您的两个正确的表将被加载到管理部分，这是一个教育练习，但正如您所建议的那样，这是学习 SQL 注入的好时机。我将调查保护我的应用程序免受此类攻击。感谢所有的帮助。