Ошибка при попытке сохранить пользовательский ввод в MySQL с PHP

Question

Ошибка при попытке сохранить пользовательский ввод в MySQL с PHP

0

Всякий раз, когда я пытаюсь сохранить вход пользователя в базу данных MySQL, он сохраняет пустые строки сразу после загрузки страницы. Вот мой файл index.php:

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "dbname";

$uName = mysqli_real_escape_string(mysqli_connect($servername, $username, 
$password, $dbname), $_POST['username']);
$pass = mysqli_real_escape_string(mysqli_connect($servername, $username, 
$password, $dbname), $_POST['password']);

// Create connection
$conn = mysqli_connect($servername, $username, $password, $dbname);
// Check connection
if ($conn->connect_error) {
  die("Connection failed: " . $conn->connect_error);
} 

$sql = "INSERT INTO users (username, password)
VALUES ('$uName', '$pass')";

if ($conn->query($sql) === TRUE) {
  echo "New record created successfully";
} else {
  echo "Error: " . $sql . "<br>" . $conn->error;
}

$conn->close();
?>

<!DOCTYPE html>
<html>

<body>
<form action="index.php" method="post">
<input type="text" name="username"> <br> <br>
<input type="password" name="password"> <br> <br>
<input type="submit" name="submit">
</form>

</body>

</html>

Пожалуйста, скажите мне, есть ли что-то, что я делаю неправильно. Спасибо

Bachoo 18 май 2018, в 09:08

Источник

0

Вы должны сделать одно подключение к вашей базе данных в начале. Затем вы используете одно и то же соединение для каждого звонка. Прямо сейчас вы создаете несколько соединений; один каждый раз, когда вы используете mysqli_real_escape_string() а затем еще один после. Это очень плохо для производительности. Вам также следует использовать подготовленные операторы вместо того, чтобы вручную экранировать и объединять ваши запросы.
Magnus Eriksson 18 май 2018, в 06:18
0

Никогда не храните пароли в открытом виде! , Храните только хеши паролей! Используйте PHP password_hash() и password_verify() . Если вы используете версию PHP ниже 5.5 (на что я действительно надеюсь), вы можете использовать библиотеку password_compat для получения той же функциональности.
Magnus Eriksson 18 май 2018, в 06:20
0

Причина, по которой вы получаете пустые строки, заключается в том, что ваш скрипт пытается хранить информацию из $_POST -super global при каждом запросе , независимо от того, была ли опубликована форма или нет. Вы должны обернуть этот код в if, чтобы увидеть, получили ли вы данные поста или нет. Примерно так: if (isset($_POST['username'], $_POST['password'])) { // Your DB code }
Magnus Eriksson 18 май 2018, в 06:22
0

Я бы посоветовал вам переписать свой код в соответствии с указанными мною указателями, прежде чем продолжить работу со сценарием, иначе ваше приложение будет небезопасным. Безопасность всегда должна быть приоритетом.
Magnus Eriksson 18 май 2018, в 06:43
0

Спасибо Магнус, я новичок в PHP, и я не пытался хранить пароли, это был всего лишь тест. Большое спасибо за помощь :)
Bachoo 18 май 2018, в 08:24
0

Кроме того, я только что понял проблему. Я объявил переменную "conn" после mysqli_real_escape_string. Поэтому, когда я пытался запустить программу, она не знала, что такое conn. В то время я не понимал, в чем проблема, поэтому я просто скопировал и вставил все, что было в переменной «conn». Я не понял, что мне нужно было объявить переменную в начале. Спасибо за помощь :)
Bachoo 18 май 2018, в 08:31

Показать ещё 4 комментария

Теги:

php

mysql

phpmyadmin

2 ответа

Ещё вопросы

Вы должны сделать одно подключение к вашей базе данных в начале. Затем вы используете одно и то же соединение для каждого звонка. Прямо сейчас вы создаете несколько соединений; один каждый раз, когда вы используете mysqli_real_escape_string() а затем еще один после. Это очень плохо для производительности. Вам также следует использовать подготовленные операторы вместо того, чтобы вручную экранировать и объединять ваши запросы.
Никогда не храните пароли в открытом виде! , Храните только хеши паролей! Используйте PHP password_hash() и password_verify() . Если вы используете версию PHP ниже 5.5 (на что я действительно надеюсь), вы можете использовать библиотеку password_compat для получения той же функциональности.
Причина, по которой вы получаете пустые строки, заключается в том, что ваш скрипт пытается хранить информацию из $_POST -super global при каждом запросе , независимо от того, была ли опубликована форма или нет. Вы должны обернуть этот код в if, чтобы увидеть, получили ли вы данные поста или нет. Примерно так: if (isset($_POST['username'], $_POST['password'])) { // Your DB code }
Я бы посоветовал вам переписать свой код в соответствии с указанными мною указателями, прежде чем продолжить работу со сценарием, иначе ваше приложение будет небезопасным. Безопасность всегда должна быть приоритетом.
Спасибо Магнус, я новичок в PHP, и я не пытался хранить пароли, это был всего лишь тест. Большое спасибо за помощь :)
Кроме того, я только что понял проблему. Я объявил переменную "conn" после mysqli_real_escape_string. Поэтому, когда я пытался запустить программу, она не знала, что такое conn. В то время я не понимал, в чем проблема, поэтому я просто скопировал и вставил все, что было в переменной «conn». Я не понял, что мне нужно было объявить переменную в начале. Спасибо за помощь :)

Sachin · Answer 1 · 2018-05-18T04-32-00.000Z

См. Измененный код ниже:

$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "dbname";
// Create connection
$conn = mysqli_connect($servername, $username, $password, $dbname);
// Check connection
if ($conn->connect_error) {
  die("Connection failed: " . $conn->connect_error);
} 
if(isset($_POST['submit'])){
$uName = mysqli_real_escape_string(mysqli_connect($servername, $username, 
$password, $dbname), $_POST['username']);
$pass = mysqli_real_escape_string(mysqli_connect($servername, $username, 
$password, $dbname), $_POST['password']);

$sql = "INSERT INTO users (username, password)
VALUES ('$uName', '$pass')";

if ($conn->query($sql) === TRUE) {
  echo "New record created successfully";
} else {
  echo "Error: " . $sql . "<br>" . $conn->error;
}

$conn->close();
}
?>

<!DOCTYPE html>
<html>

<body>
<form action="" method="post">
<input type="text" name="username"> <br> <br>
<input type="password" name="password"> <br> <br>
<input type="submit" name="submit">
</form>

</body>

</html>

Этот код все еще имеет кучу проблем: он также создает три разных соединения с базой данных, когда вам нужна только одна. Он также широко открыт для инъекций SQL и сохраняет пароли в виде открытого текста. Я также не вижу смысла в создании соединения с базой данных перед оператором if, поскольку он используется только внутри оператора if.

Roshima Manoharan · Answer 2 · 2018-05-18T04-31-00.000Z

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "dbname";

$conn = mysqli_connect($servername, $username, $password, $dbname);
if(isset($_POST['submit']))
{
  $uName=$_POST['username'];
  $password=$_POST['password'];
  $sql = "INSERT INTO users (username, password) VALUES ('$uName', '$pass')";
 if(mysqli_query($conn, $sql)){
 {
    echo "New record inserted successfully";
 } 
 else 
 {
   echo "There have some problem";
 }

}
?>

Примерьте вот это

Предупреждение! Этот код по-прежнему имеет несколько серьезных проблем: он все еще широко открыт для SQL-инъекций и сохраняет пароли в открытом виде! Это основные проблемы безопасности.