ID一致のあるPHP UPDATEデータ

Question

前のページのURLからIDを渡して、そのIDの行のデータベース値を更新しようとしています。私は近くにいるように感じる。私は更新クエリに特定のID番号を追加するときに値librarian_fnameを更新することができますが、コードを介してその値を渡すと、使用時に更新されないため、その値を取得してはいけません。id = '$id' 。私が間違っていることを確信していない。これが完璧でない場合、私はまだ学んでいるので、私を許してください。

<?php 
$id = $_GET['id']; 
echo $id; 
?> 
    <?php 
    // This function will run within each post array including multi-dimensional arrays 
function ExtendedAddslash(&$params) 
{ 
     foreach ($params as &$var) { 
      // check if $var is an array. If yes, it will start another ExtendedAddslash() function to loop to each key inside. 
      is_array($var) ? ExtendedAddslash($var) : $var=addslashes($var); 
      unset($var); 
     } 
} 

// Initialize ExtendedAddslash() function for every $_POST variable 
ExtendedAddslash($_POST); 

      $librarian_fname = $_POST['librarian_fname']; 
      $id = $_POST['id']; 
?> 

     <?php 
     if(isset($_POST['add'])) { 
      $dbhost = 'localhost'; 
      $dbuser = ''; 
      $dbpass = ''; 
      $conn = mysql_connect($dbhost, $dbuser, $dbpass); 

      if(! $conn) { 
       die('Could not connect: ' . mysql_error()); 
      } 
      $sql = "UPDATE table SET librarian_fname = '$librarian_fname' WHERE id = '$id'"; 
      mysql_select_db('Events'); 
      $result = mysql_query($sql, $conn); 

      if(! $result) { 
       die('Could not enter data: ' . mysql_error()); 
      } 

      mysql_close($conn); 
      header("Location: search.php"); 
     } 

     else { 
      ?> 

      <?php 
// define variables and set to empty values 
$librarian_fname = $id = ""; 

if ($_SERVER["REQUEST_METHOD"] == "POST") { 
    $librarian_fname = test_input($_POST["librarian_fname"]); 
    $id = test_input($_POST["id"]); 
} 

function test_input($data) { 
    $data = trim($data); 
    $data = stripslashes($data); 
    $data = htmlspecialchars($data); 
    return $data; 
} 

?> 
<form method="post" action="<?php echo htmlspecialchars($_SERVER[" PHP_SELF "]);?>"> 
        <legend><b>Appointment Topic</b></legend> 
        <input type="hidden" name="id" value="<? echo $id; ?>"> 
        <label for="librarian_fname">First Name <em>*</em></label> 
        <input type="text" name="librarian_fname" size="50" required="no" validateat="onsubmit" message="Please enter your first name."> input name = "add" type = "submit" id = "add" value = "Submit"> 
       </form> 
       <?php 
     } 
     ?> 

Answer 1

私は問題の一つはTABLEは、MySQLの予約語であることかもしれないと思う。この

<form method="post" action="<?php echo htmlspecialchars($_SERVER[" PHP_SELF "]);?>"> 
         <legend><b>Appointment Topic</b></legend> 
         <input type="hidden" name="id" value="<?php echo $_GET['id']; ?>"> 
         <label for="librarian_fname">First Name <em>*</em></label> 
         <input type="text" name="librarian_fname" size="50" required="no" validateat="onsubmit" message="Please enter your first name."> <input name = "add" type = "submit" id = "add" value = "Submit"> 
         <input type="reset" name="resetButton" id="resetButton" vvalue="Reset Form" style="margin-right: 20px;" /> 
    </form> 

Answer 2

を試してみてください。

https://dev.mysql.com/doc/refman/5.5/en/keywords.html

我々は、識別子（例えばテーブル名）として予約語を使用したい場合は、エスケープする必要があります。識別子をエスケープするMySQLの規範的なパターンは、単一のバックティック文字で囲むことです。

UPDATE `table` SET 

これは、識別子が予約語であるかどうかに関係なく機能します。テーブルの名前を変える方が良いでしょう。

---

コードがSQLインジェクションに対して脆弱であるように見えることに注意してください。 SQL文のテキストに組み込まれた潜在的に危険な値は、適切には、（例えば使用mysqli_real_escape_string）

https://xkcd.com/327/

好ましいパターンを用意を使用する代わりに、SQL文に値を組み込み、そしてないにあるエスケープでなければなりませんステートメントとバインドプレースホルダ。