1. 理解问题核心:状态丢失与数据提交失败
在开发动态 web 应用时,用户选择和数据提交是常见交互。本案例中,用户期望通过下拉菜单选择一个数据库表进行显示,并在该表对应的表单中提交数据。然而,实际操作中出现了两个主要问题:
- 表格选择状态丢失: 当用户在数据提交表单中点击“提交”后,之前选择的表格不再显示,下拉菜单也恢复到默认状态。
- 数据提交失败: 提交的数据未能成功添加到选定的数据库表中。
这两个问题根源在于 PHP 会话管理的不当以及表单处理逻辑的缺陷。
1.1 body.php 中的会话管理缺陷
原始的 body.php 代码片段如下:
// ...
session_start();
include 'get.php';
$_SESSION["dbselect"] = filter_input(INPUT_POST, 'dbselect', FILTER_SANITIZE_STRING);
if ($_SESSION["dbselect"] == "messages") {
dbMessages("*");
include 'Forms/contact_form.php';
}
if ($_SESSION["dbselect"] == "messages2") {
dbMessages2("*");
}
// ...问题在于 $_SESSION["dbselect"] = filter_input(INPUT_POST, 'dbselect', FILTER_SANITIZE_STRING); 这一行。它在每次页面加载时都会无条件执行。当用户提交 数据输入表单 时,$_POST['dbselect'] 将不存在,导致 filter_input 返回 NULL 或空字符串,从而覆盖了之前存储在 $_SESSION["dbselect"] 中的正确表格选择。结果就是,页面刷新后 $_SESSION["dbselect"] 失去其值,表格不再显示。
此外,FILTER_SANITIZE_STRING 过滤器在 PHP 8.1.0 版本中已被弃用,不应再使用。
立即学习“PHP免费学习笔记(深入)”;
1.2 contact_form.php 的表单行为与硬编码
原始的 contact_form.php 代码片段如下:
// ...
修改说明:
- session_start(); 必须在任何 HTML 输出之前调用。
- if (isset($_POST["dbselect"])) { ... } 确保 $_SESSION["dbselect"] 仅在表格选择表单提交时才被更新。
- $selected_table = $_SESSION["dbselect"] ?? ''; 使用空合并运算符为 $selected_table 提供默认值,避免未定义索引错误。
- 在
- dbselect 的值直接来自预定义的
2.2 实现动态数据插入 (contact_form.php 改进)
为了让 contact_form.php 能够动态地向选定的表插入数据,并确保数据提交后状态不丢失,我们需要进行以下调整:
- 获取动态表名: 从 $_SESSION["dbselect"] 中读取目标表名。
- 修正表单 action: 将表单提交目标指向 body.php 自身,以便 body.php 能够处理数据并重新渲染页面。
- 使用预处理语句: 这是防止 SQL 注入的关键措施。
- 数据清理和验证: 对用户输入进行适当的清理和验证。
此表单仅适用于 'messages' 表。";
return; // 停止执行,不显示表单
}
if (isset($_POST["Submit"])) {
// 检查所有必填字段是否都已提交且不为空
if (!empty($_POST["txtName"]) && !empty($_POST["txtPhone"]) && !empty($_POST["txtEmail"]) && !empty($_POST["txtMessage"])) {
// 使用 mysqli_real_escape_string (不推荐,但比直接拼接好,最佳是预处理)
// 更好的方法是使用预处理语句,如下所示
$txtName = htmlspecialchars($_POST['txtName']);
$txtEmail = htmlspecialchars($_POST['txtEmail']);
$txtPhone = htmlspecialchars($_POST['txtPhone']);
$txtMessage = htmlspecialchars($_POST['txtMessage']);
// 准备 SQL 插入语句 - 使用预处理语句防止 SQL 注入
$stmt = mysqli_prepare($conn, "INSERT INTO " . $targetTable . "(name, email, phone, message) VALUES (?, ?, ?, ?)");
if ($stmt) {
// 绑定参数
mysqli_stmt_bind_param($stmt, "ssss", $txtName, $txtEmail, $txtPhone, $txtMessage);
// 执行语句
if (mysqli_stmt_execute($stmt)) {
echo "数据已成功添加到 " . htmlspecialchars($targetTable) . " 表。
";
} else {
echo "数据添加失败: " . mysqli_error($conn) . "
";
}
// 关闭语句
mysqli_stmt_close($stmt);
} else {
echo "SQL 预处理失败: " . mysqli_error($conn) . "
";
}
} else {
echo "请填写所有必填字段。
";
}
// 清除 POST 数据,防止刷新重复提交
// unset($_POST); // 不推荐直接 unset $_POST,因为可能影响其他逻辑
// 更好的做法是重定向到当前页面,但这里我们只是刷新显示
// 刷新页面以显示更新后的数据,并确保表格选择状态保持
echo "";
exit; // 确保在重定向后停止执行
}
// 如果是 GET 请求或提交失败,显示表单
echo '
';
// 数据库连接在处理完请求后关闭
mysqli_close($conn);
?>修改说明:
- $targetTable = $_SESSION["dbselect"] ?? ''; 从会话中安全地获取目标表名。
- 添加了 $targetTable !== 'messages' 的检查,以符合原问题中“contact_form.php 文件仅用于第一个表,messages”的说明。
- 表单 action 已更改为 action="' . htmlspecialchars($_SERVER['PHP_SELF']) . '",确保表单提交回当前页面 (body.php)。
- 关键: 使用 mysqli_prepare() 和 mysqli_stmt_bind_param() 实现预处理语句,有效防止 SQL 注入。
- 对用户输入数据使用 htmlspecialchars() 进行 HTML 转义,防止 XSS 攻击。
- 在成功提交后,使用 echo ""; exit; 进行页面刷新并重定向,确保 $_POST 数据被清除,防止用户刷新页面导致重复提交,同时让 body.php 重新渲染以显示更新后的表格数据。
- 在表单字段中添加 value 属性,以便在提交失败时保留用户输入。
2.3 get.php 和 db.php
get.php 负责从数据库获取并显示数据,db.php 负责数据库连接。这两个文件在原始代码中似乎工作正常,但为了完整性,这里提供一个简化的 db.php 示例和 get.php 的关键部分。
db.php 示例:
get.php 关键部分:
没有数据可显示。";
return;
}
$output = "| " . htmlspecialchars($col) . ' | '; } $output .= '
|---|
| ' . htmlspecialchars($val) . ' | '; } $output .= '
查询 'messages' 表失败: " . mysqli_error($conn) . "
"; } // mysqli_close($conn); // 不在此处关闭,因为可能其他函数还需要 $conn } function dbMessages2($selector) { include 'db.php
