公司名称登记表
P粉904191507
P粉904191507 2023-09-05 19:05:36
[MySQL讨论组]
<p>仅供参考,编码新手,自学,放轻松......</p> <p>我有一个注册表单,用于创建新的 SQL 表。他们输入的公司名称将成为每次登录时新建表的表名。</p> <p>除了表名变量存在漏洞之外,一切都运行良好。</p> <p>我正在使用 PHP 和 MySQL。</p> <p>如果公司名称在 2 个单词之间有空格,我最初会遇到问题,但我使用 str_replace 修复了该问题</p> <p>我进行了很多测试,发现如果我将公司名称放入“out”中,就会破坏代码。</p> <p>我收到此错误消息:</p> <p>“致命错误:未捕获 mysqli_sql_exception:您的 SQL 语法有错误;请检查与您的 MySQL 服务器版本相对应的手册,了解在 'out 附近使用的正确语法( id INT UNSIGNED AUTO_INCRMENT PRIMARY KEY, first_name VARCHAR(128 ) NOT ' 在 C:\Users\reece.grover\OneDrive\XML Website\opregister.php:73 中的第 1 行处 堆栈跟踪: #0 C:\Users\reece.grover\OneDrive\XML Website\opregister.php(73 ): mysqli->query('CREATE TABLE ou...') #1 {main} 在第 73 行的 C:\Users\reece.grover\OneDrive\XML Website\opregister.php 中抛出”</p> <p>这似乎不仅会导致错误,还会导致 SQL 注入。</p> <p>我学会了如何bind_param,但这仍然阻止了 CREATE TABLE 函数的潜在代码破坏。</p> <p>这是我的服务器端 PHP 代码,该表单只是一个带有 Bootstrap 的简单 HTML 表单。</p> <pre class="brush:php;toolbar:false;">//remove spaces $company = str_replace(' ', '', $_POST[&quot;company&quot;]); //hash Password $password_hash = password_hash($_POST[&quot;password&quot;], PASSWORD_DEFAULT); // Create new Operator $mysql = require __DIR__ . &quot;/database.php&quot;; $sql = &quot;INSERT INTO operators (first_name, last_name, email, password_hash, company) VALUES (?, ?, ?, ?, ?)&quot;; $stmt = $mysql-&gt;stmt_init(); if ( ! $stmt -&gt;prepare($sql)){ die(&quot;SQL error: &quot; . $mysql-&gt;error); } $stmt-&gt;bind_param(&quot;sssss&quot;, $_POST[&quot;first_name&quot;], $_POST[&quot;last_name&quot;], $_POST[&quot;email&quot;], $password_hash, $company); if ( ! $stmt-&gt;execute()) { die($mysqli-&gt;error . &quot; &quot; . $mysqli-&gt;errno); } //Create the new company table $sql = &quot;CREATE TABLE $company ( id INT UNSIGNED AUTO_INCREMENT PRIMARY KEY, first_name VARCHAR(128) NOT NULL, last_name VARCHAR(128) NOT NULL, email VARCHAR(255) NOT NULL UNIQUE, company VARCHAR(128), credit VARCHAR(60), phone VARCHAR(60))&quot;; if ( ! $mysql-&gt;query($sql)) { die(&quot;Create Table Failed : &quot; . $mysql-&gt;error); } $sql = &quot;INSERT INTO $company (first_name, last_name, email, company, credit, phone) VALUES (?, ?, ?, ?, ?, ?)&quot;; $stmt = $mysql-&gt;stmt_init(); if ( ! $stmt -&gt;prepare($sql)){ die(&quot;SQL error: &quot; . $mysql-&gt;error); } $stmt-&gt;bind_param(&quot;ssssss&quot;, $_POST[&quot;first_name&quot;], $_POST[&quot;last_name&quot;], $_POST[&quot;email&quot;], $company, $_POST[&quot;credit&quot;], $_POST[&quot;phone&quot;]); if ($stmt-&gt;execute()) { header(&quot;Location: signup_success.php&quot;); exit;</pre></p>
P粉904191507
P粉904191507

全部回复(1)
P粉186897465

您应该有一个预定义的公司表,而不是单独的 company_name 表。您也不应该根据用户输入创建表。

预先创建公司表:

CREATE TABLE companies (
  id INT PRIMARY KEY AUTO_INCREMENT,
  company_name VARCHAR(255),
  email VARCHAR(255),
  phone VARCHAR(20)
);

然后您可以将数据INSERT到此表中:

$stmt = $conn->prepare("INSERT INTO companies (company_name, email, phone) VALUES (?, ?, ?)");
//Example company data
$companyName = "Example Company";
$email = "info@example.com";
$phone = "123-456-7890";
$stmt->bind_param("sss", $companyName, $email, $phone);
$stmt->execute();

每个公司都插入到此表中。它们通过 id 列进行区分。

您还可以在operators 表上添加外键约束。

ALTER TABLE operators
ADD COLUMN company_id INT,
ADD CONSTRAINT key_constraint_company_id FOREIGN KEY (company_id) REFERENCES company(id);

如果您希望在删除操作员时删除公司数据,您可以执行DELETE CASCADE

ALTER TABLE operators
ADD COLUMN company_id INT,
ADD CONSTRAINT key_constraint_company_id FOREIGN KEY (company_id) REFERENCES company(id) ON DELETE CASCADE;
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习
PHP中文网抖音号
发现有趣的

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号