Выполнение PDO в базе данных с использованием bindParam через форму HTML - PullRequest
Новая
       1

Выполнение PDO в базе данных с использованием bindParam через форму HTML

0 голосов
/ 22 января 2019

Чего я пытаюсь достичь

Я пытаюсь обновить свою базу данных значениями, заполненными пользователем в форме.

Я провел несколько месяцев с бесконечными поисками в Google, не задавая вопрос StackOverflow , и каждый сайт научил меня немного, но я не смог закончить этот продукт.

Проблема, с которой я борюсь

При отправке PDO::execute не выполняется и база данных не обновляется. Ранее я получал ошибки "Undefined index", но эти ошибки были решены путем правильной передачи переменных. Теперь я не получаю никаких ошибок.

Мой вопрос

Что я делаю не так? Учитывая, что я не получаю никаких ошибок в консоли или где-либо еще (и error_reporting включен). Оператор if, в котором я проверяю, было ли оно выполнено, всегда дает nope, поэтому где-то в запросе происходит сбой.

Также, как я могу отладить это лучше?

Что я пробовал (код был уменьшен для раскрытия релевантного контента)

index.php (отображение таблицы с кнопкой Обновить , перенаправляющей меня на update.php) 

<?php
session_start();

require 'assets/php/database.php';
require 'assets/php/usersession.php';

?>
<!DOCTYPE html>
<html>
<head>
<!-- irrelevant content -->
</head>
<body>
    <?php
    $sql = "SELECT * FROM utlansliste";

    $stmt = $conn->prepare($sql);
    $stmt->execute();
    $result = $stmt->fetchAll();
    ?>

    <table>
        <thead>
            <th>ID</th>
            <th>Brukernavn</th>
            <th>Datamaskin</th>
            <th>Periferiutstyr</th>
            <th>Start dato</th>
            <th>Slutt dato</th>
            <th>Oppdater tabell</th>
        </thead>

        <?php
        foreach($result as $rows) {
        ?>

        <tr>
            <td><?php echo $rows['id']; ?></td>
            <td><?php echo $rows['username']; ?></td>
            <td><?php echo $rows['hostname']; ?></td>
            <td><?php echo $rows['peripherals']; ?></td>
            <td><?php echo $rows['start_date']; ?></td>
            <td><?php echo $rows['end_date']; ?></td>
            <td><a href="update.php?id=<?php echo $rows['id'];?>&hostname=<?php echo $rows['hostname'];?>"><div class="btn btn-primary">Oppdater</div></a></td>
        </tr>

        <?php
        }
        ?>

    </table>
</body>
</html>

update.php (где пользователь заполняет форму и где должно произойти выполнение) 

<?php

session_start();

require 'assets/php/database.php';
require 'assets/php/usersession.php';

if(isset($_GET['id'])) {

    $id = $_GET['id'];
    $hostname = $_GET['hostname'];

    global $conn;
    $sql = "SELECT * FROM utlansliste WHERE id='$id';";
    $stmt = $conn->prepare($sql);
    $stmt->execute();
    $row = $stmt->fetchAll();

    $username = $row[0]['username'];
    $peripherals = $row[0]['peripherals'];
    $start_date = $row[0]['start_date'];
    $end_date = $row[0]['end_date'];

    if(isset($_POST['submit'])) {

        try {

            global $conn;
            $sql = "UPDATE utlansliste SET username = ':username', peripherals = ':peripherals', start_date = ':start_date', end_date = ':end_date', WHERE id = ':id'";

            $stmt = $conn->prepare($sql);
            $stmt->bindParam(":username", $username, PDO::PARAM_STR);
            $stmt->bindParam(":peripherals", $peripherals, PDO::PARAM_STR);
            $stmt->bindParam(":start_date", $start_date, PDO::PARAM_STR);
            $stmt->bindParam(":end_date", $end_date, PDO::PARAM_STR);
            $stmt->bindParam(":id", $id, PDO::PARAM_STR);
            $stmt->execute();

            if ($stmt->execute()) { 
               echo "gg";
            } else {
               echo "nope";
            }

            /*header('Location:index.php');*/
            }

            catch(PDOException $exception)  {
            echo "Error: " . $exception->getMessage();
        }
    }
}
?>
<html>
<head>
<!-- irrelevant content -->
</head>
<body>
    <?php include 'assets/php/header.php' ?>
    <?php if( !empty($user) ): ?>
    <div class="content">
        <strong>Oppdater utlånsliste for <?php echo $hostname; ?></strong>
        <form name="form" method="POST" action="">
            <div class="updatebox" style="text-align:center;">
                <label for="username">Brukernavn</label>
                <div><input type="text" name="username" value="<?php echo $username;?>" id="username" required/></div>

                <label for="peripherals">Periferiutstyr</label>
                <div><input type="text" name="peripherals" value="<?php echo $peripherals;?>" id="peripherals"/></div>

                <label for="startdate">Låne fra - dato</label>
                <div><input data-date-format="YYYY/MM/DD" type="date" name="start_date" value="<?php echo $start_date;?>" id="start_date" required/></div>

                <label for="enddate">Låne til - dato</label>
                <div><input data-date-format="YYYY/MM/DD" type="date" name="end_date" value="<?php echo $end_date;?>" id="end_date" required/></div>

                <input name="id" type="hidden" id="id" value="<?php echo $id;?>"/>
                <input name="hostname" type="hidden" value="<?php echo $hostname;?>" id="hostname"/>
                <input type="submit" name="submit" value="Submit"/>
            </div>
        </form> 
    </div>
<body>
</html>

Дополнительные комментарии

Я заглянул на многие сайты в поисках помощи и знаний. Вот некоторые из многих других. Я в основном ищу знания, чтобы изучить этот безопасный метод обновления базы данных, так что даже один комментарий очень помогает!

PHPDelusions

Редактирование формы с помощью PHP PDO

Форма в PDO для обновления данных

Официальное руководство PDO

Неофициальное руководство по PDO, (PDODelusions)

1 Ответ

0 голосов
/ 22 января 2019

sql раньше был некорректным - кроме одинарных кавычек вокруг заполнителей, перед предложением where была запятая.

$sql = "UPDATE utlansliste SET 
            username = :username, 
            peripherals = :peripherals, 
            start_date = :start_date, 
            end_date = :end_date 
        WHERE id = :id";

Можете ли вы подтвердить, что оператор update действительно вызывается?Попробуйте напечатать sql до / после вызова метода execute, чтобы программа достигла этой точки

Быстро прошла через PHP и внесла несколько небольших изменений, которые МОГУТ (или могут не помогать). 

<?php

    try{
        session_start();
        $id='';

        require 'assets/php/database.php';
        require 'assets/php/usersession.php';

        if( isset( $_GET['id'], $_GET['hostname'] ) ) {

            $id = $_GET['id'];
            $hostname = $_GET['hostname'];


            /*
                global $conn;

                The `global` keyword is used within functions to allow a variable declared outside the function
                to be used within the function... think `scope`
            */


            /*
            $sql = "SELECT * FROM utlansliste WHERE id='$id';";
            As the problem revolves around prepared statements why not use a prepared statement here
            and avoid the possibility of sql injection??
            */

            $sql='select * from `utlansliste` where id=:id;';
            $args=array( ':id' => $id );
            $stmt = $conn->prepare($sql);
            $res=$stmt->execute( $args );

            if( !$res )throw new Exception(' Failed to SELECT records ');



            $row = $stmt->fetchAll();

            $username = $row[0]['username'];
            $peripherals = $row[0]['peripherals'];
            $start_date = $row[0]['start_date'];
            $end_date = $row[0]['end_date'];

            /* make sure that all variables are available... */
            if( isset( $_POST['submit'], $username,$peripherals,$start_date,$end_date ) ) {

                try {
                    /* same issue, global is NOT required */
                    #global $conn;

                    $sql = "UPDATE utlansliste SET username = :username, peripherals = :peripherals, start_date = :start_date, end_date = :end_date WHERE id = :id";

                    $stmt = $conn->prepare( $sql );
                    $stmt->bindParam(":username", $username, PDO::PARAM_STR);
                    $stmt->bindParam(":peripherals", $peripherals, PDO::PARAM_STR);
                    $stmt->bindParam(":start_date", $start_date, PDO::PARAM_STR);
                    $stmt->bindParam(":end_date", $end_date, PDO::PARAM_STR);
                    $stmt->bindParam(":id", $id, PDO::PARAM_STR);

                    $result = $stmt->execute();

                    if ( $result ) { 
                       echo "gg";
                    } else {
                       echo "nope";
                    }

                    /*header('Location:index.php');*/
                }catch(PDOException $exception)  {
                    echo "Error: " . $exception->getMessage();
                }
            }
        }


    }catch( Exception $e ){
        exit( $e->getMessage() );
    }

?>

Между прочим, не обязательно использовать prepared statement в следующем, потому что нет пользовательских переменных и нет возможности SQL-инъекции 

$sql = "SELECT * FROM utlansliste";

$stmt = $conn->prepare($sql);
$stmt->execute();
$result = $stmt->fetchAll();

Если был whereтогда это может отличаться ... может быть

update Чтобы помочь при отладке запросов PDO, я использую следующую функцию debugpdo ~ приведен пример ее использования. 

<code>function debugpdo( $sql=false, $args=array() ){
    if( $sql && !empty( $args ) ){
        $params = array();
        $keys = array();
        foreach( $args as $placeholder => $value ){
            if( is_numeric( $value ) )$params[]=sprintf('set @%s=%d;',str_replace( ':', '', $placeholder ), $value );
            else $params[]=sprintf('set @%s="%s";',str_replace( ':', '', $placeholder), str_replace( '"',"'", $value ) );
            $keys[]=str_replace(':','@',$placeholder);
        }
        printf( 
            "<pre><h1>Copy & Paste this SQL into mySQL GUI Application</h1>%s\n\n%s;
", implode (PHP_EOL, $ params), str_replace (array_keys ($ args), $ keys, $ sql));}} $ sql =" update `utlansliste` set` username` =: username, `периферийные устройства = =: периферийные устройства, `start_date` =: start_date,` end_date` =: end_date, где `id` =: id"; $ args = array (': username' => $ username, ': периферийные устройства' => $ периферийное устройство, ':start_date '=> $ start_date,': end_date '=> $ end_date,': id '=> $ id); / * Для отладкиsql, раскомментируйте это и выполните ... * / exit (debugpdo ($ sql, $ args));/ * код продолжается ... * / $ stmt = $ conn-> prepare ($ sql);$ result = $ stmt-> execute ($ args);
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...