Я создал форму (форму запроса) в HTML, которая отправляет следующий код:

<?php           
if(isset($_POST['submit']))

{
$name = mysql_real_escape_string((string)$_POST['name']);
$surname = mysql_real_escape_string((string)$_POST['surname']);
$email = mysql_real_escape_string((string)$_POST['email']);
$phone = mysql_real_escape_string((string)$_POST['phone']);
$country = mysql_real_escape_string((string)$_POST['country']);
$message = mysql_real_escape_string((string)$_POST['message']);

$sql = "INSERT INTO contact
       (name, surname, email, phone, country, message)
       VALUES('$name', '$surname', '$email', '$phone', '$country', '$message')";

mysql_select_db($db);
$retval = mysql_query( $sql, $conn )or die(mysql_error());

echo 'Thank you '.$name.' '.$surname.'. Your enquiry has been forwarded to our team. <br><br>Please check you email inbox for further information.<br><br>Return to homepage:<br><br><button class="search" onclick="/">Return to homepage</button>';

mysql_close($conn);
}

?>

Мне интересно, как я могу отображать ошибки и останавливать публикацию формы при вводе недействительных или нулевых данных?

Изучая, как создавать формы в Интернете, я также слышал о SQL-инъекциях. Я защищен?

Помогите много ценится.

0
Support 28 Авг 2011 в 14:44

2 ответа

Лучший ответ

Мне интересно, как я могу отображать ошибки и останавливать отправку формы при вводе недействительных или нулевых данных.

Вы должны выполнить проверку после if(isset($_POST['submit'])). Например, вы можете проверить, не указано ли имя:

if (empty($_POST['name'])) {
    $errors[] = 'name must not be empty';
}

Для более сложных проверок, таких как проверка того, что адрес электронной почты действителен, вам следует взглянуть на расширение фильтра :

$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);
if (!$email) // invalid email

И после всех ваших проверок:

if (!count($errors)) {
    // do the insert here
}

Вы можете использовать блок while для прерывания, как только обнаружите ошибку:

while (isset($_POST['submit'])) {

    if (empty($_POST['name'])) {
        $errors = 'name must not be empty';
        break;
    }

    // do the insert here

    break;
}

Изучая, как создавать формы в Интернете, я также слышал о SQL-инъекциях. Защищен ли я?

Да, до тех пор, пока вы избегаете всего, что вы встраиваете в SQL-запрос (точно так же, как вы это делаете), вы защищены.

Вам следует попробовать использовать подготовленные операторы , это безопаснее и проще в использовании.

4
Arnaud Le Blanc 28 Авг 2011 в 11:38
<?php           
if(isset($_POST['submit']))
{
$errors = array();
$name = !empty($_POST['name']) ? mysql_real_escape_string((string)$_POST['name']) : $errors[] = 'Name must not be empty';
$surname = !empty($_POST['name']) ? mysql_real_escape_string((string)$_POST['name']) : $errors[] = 'User Name must not be empty';
$email = !empty($_POST['email']) ? mysql_real_escape_string((string)$_POST['email']) : $errors[] = 'Email must not be empty';
$phone = !empty($_POST['phone']) ? mysql_real_escape_string((string)$_POST['phone']) : $errors[] = 'Phone must not be empty';
$country = !empty($_POST['country']) ? mysql_real_escape_string((string)$_POST['country']) : $errors[] = 'Country must not be empty';
$message = !empty($_POST['message']) ? mysql_real_escape_string((string)$_POST['message'])  : $errors[] = 'Message must not be empty';

if (empty($errors))
{   
if (preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email))
{
    $sql = "INSERT INTO contact
   (name, surname, email, phone, country, message)
   VALUES('$name', '$surname', '$email', '$phone', '$country', '$message')";

    mysql_select_db($db);
    $retval = mysql_query( $sql, $conn )or die(mysql_error());

    echo 'Thank you '.$name.' '.$surname.'. Your enquiry has been forwarded to our team. <br><br>Please check you email inbox for further information.<br><br>Return to homepage:<br><br><button class="search" onclick="/">Return to homepage</button>';

    mysql_close($conn);
}
else {
    echo 'Invalid Email';   
}
}
else
{
foreach ($errors AS $error) 
{
    echo "$error<br />";    
}
}
}

? >

-1
talk lampdeveloper 28 Авг 2011 в 13:48