- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在尝试创建一个脚本,让用户输入他们的用户名,然后以聊天轮盘的方式随机显示其他登录的用户名。
因此,您将输入您的姓名并点击提交,然后您的姓名将存储在数据库中,而其他人的姓名将被随机提取并显示。然后用户可以点击下一步按钮来查看另一个随机用户名。当用户关闭页面时,他们的名字将从系统中卸载。
我尝试过创建一个简单的帖子提交表单,它将返回到使用您的姓名登录的同一页面,并将您的姓名插入到 mysql 数据库中。这有效。
然后我添加了一些 PHP 代码来检测 name 变量是否已设置,并通过查找数据库中的用户数量并使用随机整数来挑选一个来在数据库中查找随机用户名。我很确定它有效,但是我无法使用 echo "$name";
显示用户名。
然后我尝试使用以下方法添加自动注销:
<body onUnload=<?php session_destroy();?>>
那没用。我没有抽出时间创建下一个按钮,因为我遇到了一些问题,因为我发现注销不起作用,因为我将从数据库中删除不会再次填充为新行的行添加到 SQL 数据库并具有自动增量功能,导致显示空白页。
这是我的代码:
<html>
<head>
<title>random name</title>
</head>
<body>
<center>
<h1>random name</h1>
<h5>By DingleNutZ</h5>
</center>
<?php
if (!isset($_POST['name'])){
echo "<form action=\"index.php\" method=\"POST\" name=\"form\"><center><h4>name:</h4><input name=\"name\" id=\"name\" type=\"text\"/><br/>
<input type=\"submit\" name=\"submit\" value=\"Play!\"/></center></form>";
}else{
$name = $_POST['name'];
$host="localhost"; // Host name
$username="root"; // Mysql username
$password=""; // Mysql password
$db_name="ftr"; // Database name
$tbl_name="players"; // Table name
// Connect to server and select databse.
mysql_connect("$host", "$username", "$password")or die("cannot connect");
mysql_select_db("$db_name")or die("cannot select DB");
// To protect MySQL injection (more detail about MySQL injection)
$name = stripslashes($name);
$name = mysql_real_escape_string($name);
$sql="SELECT * FROM $tbl_name WHERE name='$name'";
$result=mysql_query($sql);
// Mysql_num_row is counting table row
$count=mysql_num_rows($result);
if($count==1){
session_register("name");
session_start();
if(session_is_registered(name)){
$players=mysql_query("SELECT MAX (id) FROM $tbl_name");
$chooserand=rand(1,$players);
$callee=mysql_query("SELECT name FROM $tbl_name WHERE id=$chooserand");
echo "$callee";
echo "<a href=\"index.php?playing=1\">Logout</a>";
if (isset($playing)){
if ($playing == 1){
$drop_name=mysql_query("DELETE FROM $tbl_name WHERE name=$name");
}}
}
}
echo "show random name here";
}
?>
</body>
</html>
其中有一个名为 $playing
的变量,它是注销系统的尝试。
如果有任何答案,我将不胜感激。非常感谢。
因为我没有说得很明显(对不起大家),我需要解决我的主要问题,即能够显示随机用户,而不会由于从数据库中删除行而显示空白页。为了保护隐私,从系统中删除用户名至关重要
最佳答案
您的代码中存在一些问题,并非所有问题都是错误,某些代码是不需要的,其他代码可能存在危险。
$name = stripslashes($name); <<-- delete this line.
$name = mysql_real_escape_string($name); <<-- this is all you need.
mysql_real_escape_string()
就是您所需要的。不需要其他转义来防止 SQL 注入(inject)。
有一些注意事项适用,我将在下面讨论。
$sql="SELECT * FROM $tbl_name WHERE name='$name'";
$result=mysql_query($sql);
Select *
是一种反模式,切勿在生产代码中使用它。明确选择您需要的字段。
您正在使用动态表名,我看不出这样做的必要性,而且这也是一个危险的 SQL 注入(inject)漏洞。
切勿使用它,但如果必须,请参阅此问题如何保护您的代码:How to prevent SQL injection with dynamic tablenames?
您执行查询,但不测试它是否成功,而是在其中进行测试:
$sql = "SELECT id FROM users WHERE name='$name' ";
$result = mysql_query($sql);
if ($result)
{
$row = mysql_fetch_array($result);
$user_id = $row['id'];
}
else { do stuff to handle failure }
您正在尝试从数据库中获取数据,但这不是这样做的方法:
$players = mysql_query("SELECT MAX (id) FROM $tbl_name");
$chooserand = rand(1,$players);
$callee = mysql_query("SELECT name FROM $tbl_name WHERE id=$chooserand");
echo "$callee";
但我发现了一些问题:
请停止使用 dyname 表名,这是一个非常糟糕的主意。
mysql_query的返回值是一个query_handle,而不是您查询的实际数据。
我建议转义所有值,无论是来自代码外部还是内部;我知道这是偏执的,但是这样,如果您对设计进行更改,就不会忘记添加转义。
永远不要在 echo 语句中回显未经处理的数据。
如果您回显 $var
,请始终使用 htmlentities
对其进行清理。如果你不这样做,XSS 安全漏洞将是你的命运。
请参阅:What are the best practices for avoiding xss attacks in a PHP site
将代码重写为:
$result = mysql_query("SELECT MAX (id) as player_id FROM users");
$row = mysql_fetch_array($result);
$max_player = $row['player_id'];
$chooserand = mysql_real_escape_string(rand(1,$max_player));
//not needed here, but if you change the code, the escaping will already be there.
//this also makes code review trivial for people who are not hep to SQL-injection.
$result = mysql_query("SELECT name FROM users WHERE id = '$chooserand' ");
$row = mysql_fetch_array($result);
$callee = $row['name'];
echo "callee is ".htmlentities($callee);
最后,您要从表中删除行,这看起来是一件非常奇怪的事情,但这是可能的,但是您的代码不起作用:
$drop_name = mysql_query("DELETE FROM $tbl_name WHERE name=$name");
正如所讨论的,mysql_query
不返回值。
除此之外,仅SELECT
查询会返回结果集,DELETE
仅返回成功或失败。
所有 $var 都必须加引号,这充其量是一个语法错误,最坏的情况是一个 SQL 注入(inject)漏洞。
从技术上讲,整数不一定是整数,但无论如何我坚持引用和转义它们,因为它使您的代码保持一致,从而更容易检查正确性,并且消除了更改代码时出错的机会
将代码重写为:
$drop_name = $name;
$result = mysql_query("DELETE FROM users WHERE id = '$user_id' ");
//user_id (see above) is unique, username might not be.
//better to use unique id's when deleting.
$deleted_row_count = mysql_affected_rows($result);
if ($deleted_row_count == 0)
{
echo "no user deleted";
} else {
echo "user: ".htmlentities($drop_name)." has been deleted";
}
关于php - 随机显示用户名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7991729/
我的Angular-Component位于一个flexbox(id =“log”)中。可以显示或隐藏flexbox。 我的组件内部有一个可滚动区域,用于显示日志消息。 (id =“message-li
我真的很困惑 有一个 phpinfo() 输出: MySQL 支持 启用 客户端 API 版本 5.5.40 MYSQL_MODULE_TYPE 外部 phpMyAdmin 显示: 服务器类型:Mar
我正在研究这个 fiddle : http://jsfiddle.net/cED6c/7/我想让按钮文本在单击时发生变化,我尝试使用以下代码: 但是,它不起作用。我应该如何实现这个?任何帮助都会很棒
我应该在“dogs_cats”中保存表“dogs”和“cats”各自的ID,当看到数据时显示狗和猫的名字。 我有这三个表: CREATE TABLE IF NOT EXISTS cats ( id
我有一个字符串返回到我的 View 之一,如下所示: $text = 'Lorem ipsum dolor ' 我正在尝试用 Blade 显示它: {{$text}} 但是,输出是原始字符串而不是渲染
我无法让我的链接(由图像表示,位于页面左侧)真正有效地显示一个 div(包含一个句子,位于中间)/单击链接时隐藏。 这是我的代码: Practice
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 4 年前。 Improve this ques
最初我使用 Listview 来显示 oracle 结果,但是最近我不得不切换到 datagridview 来处理比 Listview 允许的更多的结果。然而,自从切换到数据网格后,我得到的结果越来越
我一直在尝试插入一个 Unicode 字符 ∇ 或 ▽,所以它显示在 Apache FOP 生成的 PDF 中。 这是我到目前为止所做的: 根据这个基本帮助 Apache XSL-FO Input,您
我正在使用 node v0.12.7 编写一个 nodeJS 应用程序。 我正在使用 pm2 v0.14.7 运行我的 nodejs 应用程序。 我的应用程序似乎有内存泄漏,因为它从我启动时的大约 1
好的,所以我有一些 jQuery 代码,如果从下拉菜单中选择了带有前缀 Blue 的项目,它会显示一个输入框。 代码: $(function() { $('#text1').hide();
当我试图检查 Chrome 中的 html 元素时,它显示的是 LESS 文件,而 Firefox 显示的是 CSS 文件。 (我正在使用 Bootstrap 框架) 如何在 Chrome 中查看 c
我是 Microsoft Bot Framework 的新手,我正在通过 youtube 视频 https://youtu.be/ynG6Muox81o 学习它并在 Ubuntu 上使用 python
我正在尝试转换从 mssql 生成的文件到 utf-8。当我打开他的输出 mssql在 Windows Server 2003 中使用 notepad++ 将文件识别为 UCS-2LE我使用 file
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
我正在尝试执行单击以打开/关闭一个 div 的功能。 这是基本的,但是,点击只显示 div,当我点击“关闭”时,没有任何反应。 $(".inscricao-email").click(function
假设我有 2 张卡片,屏幕上一次显示一张。我有一个按钮可以用其他卡片替换当前卡片。现在假设卡 1 上有一些数据,卡 2 上有一些数据,我不想破坏它们每个上的数据,或者我不想再次重建它们中的任何一个。
我正在使用 Eloquent Javascript 学习 Javascript。 我在 Firefox 控制台上编写了以下代码,但它返回:“ReferenceError:show() 未定义”为什么?
我正在使用 Symfony2 开发一个 web 项目,我使用 Sonata Admin 作为管理面板,一切正常,但我想要做的是,在 Sonata Admin 的仪表板菜单上,我需要显示隐藏一些菜单取决
我试图显示一个div,具体取决于从下拉列表中选择的内容。例如,如果用户从列表中选择“现金”显示现金div或用户从列表中选择“检查”显示现金div 我整理了样本,但样本不完整,需要接线 http://j
我是一名优秀的程序员,十分优秀!