Как обработать большой PHP MySQL $ _POST ОБНОВЛЕНИЕ / ВСТАВИТЬ

Question

Как обработать большой PHP MySQL $ _POST ОБНОВЛЕНИЕ / ВСТАВИТЬ

0

Я пытаюсь сделать что-то подобное, поэтому мне не нужно набирать все мои записи. Кажется, я не могу заставить это работать.

edit: добавлены некоторые изменения.

foreach($_POST as $key => $value) 
{
    $key = "'".mysql_real_escape_string($key)."'";  
    $value = "'".mysql_real_escape_string($value)."'";
    $qstring = "UPDATE load_test SET ".$key."=".$value." WHERE Id = '".$_POST['id']."'";  
        mysql_query($qstring);
}

acctman 06 дек. 2010, в 04:50

Источник

0

парень, у тебя действительно проблемы с принятым кодом.
Your Common Sense 06 дек. 2010, в 06:14

Теги:

php

mysql

2 ответа

3

То, что вы пытаетесь сделать здесь, невероятно, опасно небезопасно.

// List the fields that may be updated here
$expectedFields = array('fielda', 'fieldb');

// Updated values to be stored here
$updates = array();

// Generate the update strings
foreach ($_POST as $key => $value) {
    if (in_array($key, $expectedFields)) {
        $updates[] = "`$key` = '".mysql_real_escape_string($key)."'";
    }
}  

// Do all updates at once
$qstring = "UPDATE load_test SET " . join(', ', $updates) . " WHERE Id = '" . mysql_real_escape_string($_POST['id']) . "'";  
mysql_query($qstring);

Это улучшает несколько вещей

Все обновления происходят в одном запросе, а не в одном поле
Поля проверяются (и дезинфицируются, поскольку они принимаются только в том случае, если они находятся в допустимом списке)
Идентификатор также дезинфицирован

El Yobo 06 дек. 2010, в 00:57

0

нет, это не сработает, это не так, как вы обновляете строку
Breezer 06 дек. 2010, в 03:30
0

Есть ли безопасный способ сделать это? Или лучший способ ввода всех необходимых имен полей и сообщений. иногда мне приходится обновлять примерно 20 полей, и убедиться, что значение сообщения и имя поля находятся в нужном месте, так как обновление может сбить с толку.
acctman 06 дек. 2010, в 03:33
0

@Breezer - он сгенерирует UPDATE load_test SET somefield = 'some value' WHERE Id = 'some key', так же, как вы сейчас обновили свой. Так что, если это было ваше отрицательное мнение, прочитайте ответ снова, подумайте об этом и исправьте свой голос.
El Yobo 06 дек. 2010, в 03:38
0

@acctman: a) вы должны использовать PDO или mysqli b) вам также нужно экранировать значение $ _POST ['id'] c) вам также необходимо экранировать ключ $ d) вам нужно проверить, что $ key является действительное имя поля, которое вы хотите обновить.
El Yobo 06 дек. 2010, в 03:39
0

вы выполняете запрос после цикла, поэтому обновляете только последний набор цикла, вот что вы ошибаетесь
Breezer 06 дек. 2010, в 03:44
0

Ахаха, хорошо, ты здесь; скопировал и вставил свой оригинал. В любом случае, я буду редактировать, чтобы обеспечить несколько более безопасное решение.
El Yobo 06 дек. 2010, в 03:55
0

Я думаю, что $ Ожидаемые поля неправильные ... я помещаю имена полей туда, и когда я загружаю значения, установленные, где поле, названное из $ Ожидаемые поля ... ... это должно быть что-то вроде этого $ updates [] = " $key = ».mysql_real_escape_string ($ значение). "'";
acctman 06 дек. 2010, в 04:16
0

Что вы положили в ожидаемые поля? Это должен быть массив имен полей, которые вы хотите обновить.
El Yobo 06 дек. 2010, в 04:27

Показать ещё 6 комментариев

Ещё вопросы

парень, у тебя действительно проблемы с принятым кодом.
нет, это не сработает, это не так, как вы обновляете строку
Есть ли безопасный способ сделать это? Или лучший способ ввода всех необходимых имен полей и сообщений. иногда мне приходится обновлять примерно 20 полей, и убедиться, что значение сообщения и имя поля находятся в нужном месте, так как обновление может сбить с толку.
@Breezer - он сгенерирует UPDATE load_test SET somefield = 'some value' WHERE Id = 'some key', так же, как вы сейчас обновили свой. Так что, если это было ваше отрицательное мнение, прочитайте ответ снова, подумайте об этом и исправьте свой голос.
@acctman: a) вы должны использовать PDO или mysqli b) вам также нужно экранировать значение $ _POST ['id'] c) вам также необходимо экранировать ключ $ d) вам нужно проверить, что $ key является действительное имя поля, которое вы хотите обновить.
вы выполняете запрос после цикла, поэтому обновляете только последний набор цикла, вот что вы ошибаетесь
Ахаха, хорошо, ты здесь; скопировал и вставил свой оригинал. В любом случае, я буду редактировать, чтобы обеспечить несколько более безопасное решение.
Я думаю, что $ Ожидаемые поля неправильные ... я помещаю имена полей туда, и когда я загружаю значения, установленные, где поле, названное из $ Ожидаемые поля ... ... это должно быть что-то вроде этого $ updates [] = " $key = ».mysql_real_escape_string ($ значение). "'";
Что вы положили в ожидаемые поля? Это должен быть массив имен полей, которые вы хотите обновить.

Breezer · Accepted Answer · 2010-12-06T01-35-00.000Z

foreach($_POST as $k=>$v){
        @$select.=" `".mysql_real_escape_string($k)."` = '".mysql_real_escape_string($v)."',";
}
$select = rtrim($select,',');
$select = "UPDATE load_test SET".$select." WHERE id=".$_POST['id'];
mysql_query($select) or die(mysql_error());;

попробуйте это намного быстрее, чем предыдущий, который вы хотите, чтобы выполнить более 1 запрос и другое, что я думаю, что он достаточно безопасен, чтобы избежать ключа, поскольку попытка обновления столбца, который не существует, не приведет вас никуда, и попытка выполнить эскалацию впрыска защитит вас от этого, вы должны убедиться, что идентификатор числовое значение

мне также нужно сделать что-то вроде $ key = $ value в ОБНОВЛЕНИИ, я только что заметил это. он не будет знать, где разместить значение $ в таблице
да, вероятно, если ключ совпадает с именем столбца
Необходимо обернуть $ key в backticks, после удаления любых backticks из самого $ key. Это по-прежнему ненадежно, так как пользователь может обновить любое поле в этой таблице, которое ему нравится, просто опубликовав любое имя $ key, которое ему нравится.
Вам также нужно экранировать $ _POST ['id'].
Во-вторых, это крайне небезопасно. Идея El Yobo о внесении белых списков в поля, которые разрешено обновлять, очевидна.
Я просто попытался запустить код, а он не обновляется. ошибки не возвращаются. но когда я делаю запрос как этот $qstring="UPDATE load_test SET word = '".$_POST['word']."', type = '".$_POST['type']."' WHERE Id = '".$_POST['id']."'"; работает нормально
единственная слабость, которую он может иметь, это не проверка, является ли опубликованный идентификатор числовым или нет (и это я уже упоминал), поскольку любые инъекции в ключ или часть значения будут экранированы и поэтому будут обрабатываться как имя alt. строка для таблицы, которая в результате выдаст только ошибку, если вы попытаетесь вставить ключ чем-либо, поскольку он попытается найти столбец, которого там нет