テキストボックスPHPの値を取得し、データベース

Question

私はフォームを作成し、フォームの値をデータベースに一致させるために一致します。私は試しましたが、私は失敗し、軽いエラーがあります。 CSRF状態トークンが提供されたトークンと一致しません。私はあなたが、それは間違って近づいて、あなたはすべての行を取得し、PHPでのマッチングを行い、データベースは、マッチングをしないようにする必要があり、新しい午前

<?php 
header('P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"'); 
include_once "fbmain.php"; 
include_once "mysqli.connect.php"; 
mysql_connect(".....") or die(mysql_error()) ; 
mysql_select_db("jetstardatabase") or die(mysql_error()) ; 

?>  
<html> 
    <link type= "text/css" rel="stylesheet" href="starpickStyle.css"> 

    <head> 
     <title>StarPick</title> 

    </head> 
    <body> 
<?php 
if (!isset($_POST["code"])) 
{ 
?> 

<form action="" method="post"> 

<strong>Code: *</strong> <input type="text" name = "code" > 
<input type="submit" name="submit" value="Submit"> 
    </form> 
    <?php 
}else 
{ 
$code = $_POST["code"]; } 
$sql = "SELECT bookingref FROM starpick WHERE obsolete = 0"; 
$result = $mysqli->query($sql); 

while($row = $result->fetch_object()) 
{   
    if($row->bookingref == $code) 
    { 
     echo 'Found'; 
    } 
    else 
    { 
     echo 'Try Again'; 
    } 
} 
?> 
</body> 
</html> 

Answer 1

いくつかの助けを必要としています。以下のような

何か：見つかった場合

$sql = "SELECT bookingref FROM starpick WHERE obsolete = 0 AND bookingref='" . mysql_real_escape_string($_POST["code"]) . "'"; // better use a prepared statement by the way but you'll have to check the manual for mysqli 

、その後はただの行かどうかを確認します。

私は自分でPDOを使用していますが、こちらはmanual on prepared statements for mysqliです。