<p>仅供参考,编码新手,自学,放轻松......</p>
<p>我有一个注册表单,用于创建新的 SQL 表。他们输入的公司名称将成为每次登录时新建表的表名。</p>
<p>除了表名变量存在漏洞之外,一切都运行良好。</p>
<p>我正在使用 PHP 和 MySQL。</p>
<p>如果公司名称在 2 个单词之间有空格,我最初会遇到问题,但我使用 str_replace 修复了该问题</p>
<p>我进行了很多测试,发现如果我将公司名称放入“out”中,就会破坏代码。</p>
<p>我收到此错误消息:</p>
<p>“致命错误:未捕获 mysqli_sql_exception:您的 SQL 语法有错误;请检查与您的 MySQL 服务器版本相对应的手册,了解在 'out 附近使用的正确语法( id INT UNSIGNED AUTO_INCRMENT PRIMARY KEY, first_name VARCHAR(128 ) NOT ' 在 C:\Users\reece.grover\OneDrive\XML Website\opregister.php:73 中的第 1 行处 堆栈跟踪: #0 C:\Users\reece.grover\OneDrive\XML Website\opregister.php(73 ): mysqli->query('CREATE TABLE ou...') #1 {main} 在第 73 行的 C:\Users\reece.grover\OneDrive\XML Website\opregister.php 中抛出”</p>
<p>这似乎不仅会导致错误,还会导致 SQL 注入。</p>
<p>我学会了如何bind_param,但这仍然阻止了 CREATE TABLE 函数的潜在代码破坏。</p>
<p>这是我的服务器端 PHP 代码,该表单只是一个带有 Bootstrap 的简单 HTML 表单。</p>
<pre class="brush:php;toolbar:false;">//remove spaces
$company = str_replace(' ', '', $_POST["company"]);
//hash Password
$password_hash = password_hash($_POST["password"], PASSWORD_DEFAULT);
// Create new Operator
$mysql = require __DIR__ . "/database.php";
$sql = "INSERT INTO operators (first_name, last_name, email, password_hash, company)
VALUES (?, ?, ?, ?, ?)";
$stmt = $mysql->stmt_init();
if ( ! $stmt ->prepare($sql)){
die("SQL error: " . $mysql->error);
}
$stmt->bind_param("sssss",
$_POST["first_name"],
$_POST["last_name"],
$_POST["email"],
$password_hash,
$company);
if ( ! $stmt->execute()) {
die($mysqli->error . " " . $mysqli->errno);
}
//Create the new company table
$sql = "CREATE TABLE $company (
id INT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
first_name VARCHAR(128) NOT NULL,
last_name VARCHAR(128) NOT NULL,
email VARCHAR(255) NOT NULL UNIQUE,
company VARCHAR(128),
credit VARCHAR(60),
phone VARCHAR(60))";
if ( ! $mysql->query($sql)) {
die("Create Table Failed : " . $mysql->error);
}
$sql = "INSERT INTO $company (first_name, last_name, email, company, credit, phone)
VALUES (?, ?, ?, ?, ?, ?)";
$stmt = $mysql->stmt_init();
if ( ! $stmt ->prepare($sql)){
die("SQL error: " . $mysql->error);
}
$stmt->bind_param("ssssss",
$_POST["first_name"],
$_POST["last_name"],
$_POST["email"],
$company,
$_POST["credit"],
$_POST["phone"]);
if ($stmt->execute()) {
header("Location: signup_success.php");
exit;</pre></p>
您应该有一个预定义的公司表,而不是单独的 company_name 表。您也不应该根据用户输入创建表。
预先创建公司表:
然后您可以将数据
INSERT
到此表中:每个公司都插入到此表中。它们通过
id
列进行区分。您还可以在
operators
表上添加外键约束。如果您希望在删除操作员时删除公司数据,您可以执行
DELETE CASCADE
: