Безопасная вставка данных в таблицу MySQL и распечатка
Безопасная вставка данных в таблицу MySQL и последующая печать.
Создание «спортивного» форума, и эта часть кода взята из форума-> Тема-> Редактировать тему.
Теперь я прочитал о реальных escape-строках Mysql, но не смог эффективно присоединить это к моему коду.
Сейчас я не использую подготовленные заявления на данный момент .. Но собираюсь восстановить вокруг них.
База данных: uf
таблицы:
forum_tbl (Вот такие «большие» форумы) &
forum_post (Это дочерний элемент forum_tbl (в некотором смысле) и содержит темы.)
-
Как я могу безопасно позволить пользователю вставлять данные (HTML-контент тоже) в мою базу данных?
- Если есть хороший способ сделать это, приведите короткий пример.
-
Как я могу получить, что безопасно установить данные из базы данных.
Никаких фигурных скобок в конце кода, он продолжает идти … Просто часть кода.
if ($_POST['editbtn']){
if( isset($_POST['newContent']) )
{
$newContent = $_POST['newContent'];
$id = $_POST['id'];
$sql = "UPDATE forum_post SET post_body='$newContent' WHERE post_id='$id'";
$res = mysqli_query($mysql, $sql);
}
Решение
Надеюсь, это поможет. Pdo — безопасный способ выполнения операций CRUD.
$dbhost = "localhost";
$dbname = "test";
$dbuser = "root";
$dbpass = "root";
$mysql = new PDO("mysql:host=$dbhost;dbname=$dbname",$dbuser,$dbpass);
if( isset($_POST['newContent']) )
{
$newContent = $_POST['newContent'];
$id = $_POST['id'];
$sql = "UPDATE forum_post SET post_body=? WHERE post_id=?";
$query=$mysql->prepare($sql);
$query->execute(array($newContent,$id));
}
Другие решения
Других решений пока нет …