我有此表单和过程页面。
在表单页面上,当执行id的任何问题但在reg_time行下时,有两个隐藏的输入id和reg_time值在“ end”处设置为null,但我在表用户中设置了名叫00:00:00的时间戳记。有什么建议吗?
function post($POST)
{
$POST = array_map('trim', $_POST);
$hash = "$2y$10$";
$salt = "nekiludistringzahash22";
$his = $hash . $salt;
$POST['pass'] = crypt($_POST['pass'],$his);
return $POST;
}
$sql = "insert into users values(:" . implode(",:", array_keys(post($_POST))) . ");";
try{
$db = new PDO('mysql:host=localhost;charset=utf8;dbname=dbname','root','');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
}catch (PDOException $e)
{
die("Conn problem " . $e->getMessage());
}
$reg = $db->prepare($sql);
$reg->execute(post($_POST));
和形式
<form action="exp2.php" method="post">
<input type="hidden" name="id" value="null">
<input type="text"name="uname">
<input type="text"name="pass">
<input type="text"name="name">
<input type="text"name="lname">
<input type="submit">
<input type="hidden" name="reg_time" value = "null">
</form>
您的问题很普遍。
许多学习者无法NULL从包含四个字母“ NULL”的字符串中分辨出一个值。尽管后者绝对没有特殊意义。
还有一个坏消息:HTTP协议是基于文本的。表示使用HTTP方法只能发送字符串以外的任何内容,因此NULL无法通过HTTP POST发送值。
为了使此代码有效,您必须在服务器端添加NULL,就像您对密码进行操作一样:
function post($POST)
{
$POST = array_map('trim', $_POST);
$hash = "$2y$10$";
$salt = "nekiludistringzahash22";
$his = $hash . $salt;
$POST['pass'] = crypt($_POST['pass'],$his);
$POST['reg_time'] = NULL;
$POST['id'] = NULL;
return $POST;
}
但是,这不是代码的主要问题。最糟糕的消息是,尽管看似适当的绑定,但是您的代码仍然非常容易受到sql注入的攻击。
为了安全起见,请让您的函数接受允许字段的列表,并NULL为不存在的字段分配一个值:
function post($allowed)
{
$post = array();
foreach ($allowed as $key)
{
if (isset($_POST[$key])) $post[$key] = trim($_POST[$key]);
else $_POST[$key] = NULL;
}
$hash = "$2y$10$";
$salt = "nekiludistringzahash22";
$his = $hash . $salt;
$POST['pass'] = crypt($_POST['pass'],$his);
}
然后这样称呼它:
$post = post(array('id','uname','pass','name','lname','reg_time'));
$sql = "insert into users values(:" . implode(",:", array_keys($post)).");";
$reg = $db->prepare($sql);
$reg->execute($post);
这样,您将过滤掉所有字段名称。
作为奖励,您将能够为您的Submit按钮分配一个自定义值;)
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句