2017-09-15 25 views
-1

私は作業カートを持っていますが(以下のコードを参照)、 'dbexample'データベースの 'orders' MYSQLテーブルに内容を保存したいと思います。 これに 'order_number'と 'order_status'フィールドを追加しました。 そうすれば、注文追跡/ステータスシステムを作ることができます。カートの内容をMYSQLテーブルに保存するには

マイカートは次のようになります。私はこれをコピーした試験として

<?php 
session_start(); 
include_once("config.php"); 
?> 
<!DOCTYPE html> 
<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>View shopping cart</title> 
<link href="style/style.css" rel="stylesheet" type="text/css"></head> 
<body> 
<h1 align="center">View Cart</h1> 
<div class="cart-view-table-back"> 
<form method="post" action="cart_update.php"> 
<table width="100%" cellpadding="6" cellspacing="0"><thead><tr><th>Quantity</th><th>Name</th><th>Price</th><th>Total</th><th>Remove</th></tr></thead> 
    <tbody> 
    <?php 
    if(isset($_SESSION["cart_products"])) //check session var 
    { 
     $total = 0; //set initial total value 
     $b = 0; //var for zebra stripe table 
     foreach ($_SESSION["cart_products"] as $cart_itm) 
     { 
      //set variables to use in content below 
      $product_name = $cart_itm["product_name"]; 
      $product_qty = $cart_itm["product_qty"]; 
      $product_price = $cart_itm["product_price"]; 
      $product_code = $cart_itm["product_code"]; 
      $product_color = $cart_itm["product_color"]; 
      $subtotal = ($product_price * $product_qty); //calculate Price x Qty 

      $bg_color = ($b++%2==1) ? 'odd' : 'even'; //class for zebra stripe 
      echo '<tr class="'.$bg_color.'">'; 
      echo '<td><input type="text" size="2" maxlength="2" name="product_qty['.$product_code.']" value="'.$product_qty.'" /></td>'; 
      echo '<td>'.$product_name.'</td>'; 
      echo '<td>'.$currency.$product_price.'</td>'; 
      echo '<td>'.$currency.$subtotal.'</td>'; 
      echo '<td><input type="checkbox" name="remove_code[]" value="'.$product_code.'" /></td>'; 
      echo '</tr>'; 
      $total = ($total + $subtotal); //add subtotal to total var 
     } 

     $grand_total = $total + $shipping_cost; //grand total including shipping cost 
     foreach($taxes as $key => $value){ //list and calculate all taxes in array 
       $tax_amount  = round($total * ($value/100)); 
       $tax_item[$key] = $tax_amount; 
       $grand_total = $grand_total + $tax_amount; //add tax val to grand total 
     } 

     $list_tax  = ''; 
     foreach($tax_item as $key => $value){ //List all taxes 
      $list_tax .= $key. ' : '. $currency. sprintf("%01.2f", $value).'<br />'; 
     } 
     $shipping_cost = ($shipping_cost)?'Shipping Cost : '.$currency. sprintf("%01.2f", $shipping_cost).'<br />':''; 
    } 
    ?> 
    <tr><td colspan="5"><span style="float:right;text-align: right;"><?php echo $shipping_cost. $list_tax; ?>Amount Payable : <?php echo sprintf("%01.2f", $grand_total);?></span></td></tr> 
    <tr><td colspan="5"><a href="index.php" class="button">Add More Items</a><button type="submit">Update</button></td></tr> 
    <a href="place-order.php" ><img src="images/buynow.jpg" width="179" 
    </tbody> 
</table> 
<input type="hidden" name="return_url" value="<?php 
$current_url = urlencode($url="http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']); 
echo $current_url; ?>" /> 
</form> 
</div> 

</body> 
</html> 

(。。私は場所-order.phpを開きたい「今すぐ購入」のコードが行くべきところだと) ページが、それは置い-order.phpと呼ばれ、唯一の追加:

$sql = "INSERT INTO orders (product_code, product_name, product_price, product_qty) 
VALUES ('$product_code', '$product_name', '$product_price', '$product_qty')"; 

if ($conn->query($sql) === TRUE) { 
    echo "New record created successfully"; 
} else { 
    echo "Error: " . $sql . "<br>" . $conn->error; 
} 

これは、あまりにも動作しますが、1つの製品だけを「受注」テーブルに追加されます。 私はそれが "それぞれのために"何かで行われるべきだと思う?試してみましたが、動作させることができませんでした。 私を正しい方向に向けることができる人はいますか?

+0

を[リトルボビー](http://bobby-tables.com/)はスクリプトがある[***語りますSQLインジェクション攻撃の危険性があります。](http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php)*** [準備済み]について学ぶ(http:// en.wikipedia.org/wiki/Prepared_statement)の[MySQLi]に関する記述(http://php.net/manual/en/mysqli.quickstart.prepared-statements.php)を参照してください。 [文字列をエスケープする](http://stackoverflow.com/questions/5741187/sql-injection-that-gets-around-mysql-real-escape-string)でも安全ではありません! –

答えて

0

構文を使用すると、実際にはこのように複数の行を挿入できます。

INSERT INTO tableName 
    (column1, column2, column3, column4) 
VALUES 
    ('value1', 'value2', 'value3', 'value4'), 
    ('value1', 'value2', 'value3', 'value4'), 
    ('value1', 'value2', 'value3', 'value4'); 

これは、小計と合計をカウントする既存のforeachループで実行できます。

SQLクエリでサニタイズされていない変数を使用すると、セキュリティ上の重大な問題が発生します。たとえば、mysqliやPDOのために用意されたクエリを使って自分自身を守ることができます。あなたがここにこの詳細については読むことができます:

How can I prevent SQL injection in PHP?

http://php.net/manual/en/book.pdo.php

http://php.net/manual/en/mysqli.quickstart.prepared-statements.php

関連する問題