旁注:你现在的代码是开放的SQL注入。使用
我试图使一个简单的形式,根据正确的电子邮件检查。如果电子邮件是正确的,那么它就用新的时间更新数据库。当我运行它时,我得到一个格式错误。我不是PHP专家,所以我可能在这里遗漏了一些东西…
<?php
if(isset($_POST['update']))
{
$dbhost = 'localhost';
$dbuser = 'user1';
$dbpass = 'password';
$conn = mysql_connect($dbhost, $dbuser, $dbpass);
if(! $conn )
{
die('Could not connect: ' . mysql_error());
}
$email= $_POST['email'];
$time= $_POST['time'];
$sql = "UPDATE users".
"SET time= $time".
"WHERE email = $email" ;
mysql_select_db('dbname');
$retval = mysql_query( $sql, $conn );
if(! $retval )
{
die('Could not update data: ' . mysql_error());
}
echo "Updated data successfullyn";
mysql_close($conn);
}
else
{
?>
<form method="post" action="<?php $_PHP_SELF ?>">
<table width="400" border="0" cellspacing="1" cellpadding="2">
<tr>
<td width="100">Email:</td>
<td><input name="email" type="text" id="email"></td>
</tr>
<tr>
<td width="100">Time:</td>
<td><input name="time" type="text" id="time"></td>
</tr>
<tr>
<td width="100"> </td>
<td> </td>
</tr>
<tr>
<td width="100"> </td>
<td>
<input name="update" type="submit" id="update" value="Update">
</td>
</tr>
</table>
</form>
<?php
}
?>
</body>
</html>
你的查询有错误的引号。
<?php
if(isset($_POST['update']))
{
$dbhost = 'localhost';
$dbuser = 'user1';
$dbpass = 'password';
$conn = mysql_connect($dbhost, $dbuser, $dbpass);
if(! $conn )
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db('dbname');
$email= $_POST['email'];
$time= $_POST['time'];
$sql = "UPDATE users SET time= '$time' WHERE email = '$email'";
$retval = mysql_query( $sql, $conn );
if(! $retval )
{
die('Could not update data: ' . mysql_error());
}
echo "Updated data successfullyn";
mysql_close($conn);
}
else
{
?>
<form method="post" action="<?php $_PHP_SELF ?>">
<table width="400" border="0" cellspacing="1" cellpadding="2">
<tr>
<td width="100">Email:</td>
<td><input name="email" type="text" id="email"></td>
</tr>
<tr>
<td width="100">Time:</td>
<td><input name="time" type="text" id="time"></td>
</tr>
<tr>
<td width="100"> </td>
<td> </td>
</tr>
<tr>
<td width="100"> </td>
<td>
<input name="update" type="submit" id="update" value="Update">
</td>
</tr>
</table>
</form>
<?php
}
?>
</body>
</html>
旁注:你现在的代码是开放的SQL注入。使用
mysqli_*函数。(我建议您使用预处理语句或PDO)
脚注:
mysql_*函数弃用通知:
该扩展在PHP 5.5.0中已弃用,不建议编写新代码,因为它将在将来被删除。相反,应该使用mysqli或PDO_MySQL扩展名。请参阅MySQL API概述以获得更多帮助,同时选择MySQL API。
这些函数允许你访问MySQL数据库服务器。关于MySQL的更多信息可以在»http://www.mysql.com/找到。
MySQL的文档可以在»http://dev.mysql.com/doc/找到。
速记(s)
你可以通过一次完成以下操作来缩短代码:
$dbhost = 'localhost';
$dbuser = 'user1';
$dbpass = 'password';
$db = 'dbname';
$conn = mysql_connect($dbhost, $dbuser, $dbpass, $db);
所以你不必使用mysql_select_db('dbname');,但这纯粹是基于意见/偏好,并将节省你几个按键在同一时间。
改变:
$email= $_POST['email'];
$time= $_POST['time'];
:
$email= mysql_real_escape_string($_POST['email']);
$time= mysql_real_escape_string($_POST['time']);
将有助于增加一点安全性,直到您进入准备好的语句或PDO。
你的SQL脚本中没有空格
更改$sql为:
$sql = "UPDATE users ".
"SET time= '$time' ".
"WHERE email = '$email'" ;
虽然这将工作得很好:
$sql = "UPDATE users SET time= '$time' WHERE email = '$email'" ;
请记住,您的页面很容易受到SQL注入,因为您没有逃脱时间和电子邮件。