Модальные не меняют свой контент из-за GET ID

Question

Я должен отображать контент на основе их идентификатора, но получить идентификатор не работает.Но я вижу URL, по которому он получает идентификатор, и он изменится, если я нажму кнопку.Должен ли я заставить себя использовать ajax или есть альтернативный способ получения идентификатора?Я действительно ценю любую помощь.

$viewquery= mysqli_query($connection,"SELECT * from orders");
while($row = mysqli_fetch_assoc($viewquery)) {
$id =$row['id'];
$full_name =$row['full_name'];
$email_address =$row['email_address'];
$contact_number =$row['contact_number'];
$address =$row['address'];
$user_id =$row['user_id'];
$reference_number =$row['reference_number'];
$additional =$row['additional'];
$payment_method =$row['payment_method'];
$transaction_status = $row['transaction_status'];

echo'      <tr>';

      echo '<td>';echo "<a href='#?idrequest=$id'><button type='button' 
 class='btn btn-primary' data-toggle='modal' data-target='#exampleModalLong'
                data-formid='.$id.'>
        $reference_number
      </button></a>";

 echo'</td>';
       echo "   
            <td> $id </td>
            <td> $full_name </td>
            <td> $email_address </td>
            <td> $contact_number </td>
            <td> $address </td>
            <td> $user_id</td>

            <td> $additional </td>
            <td> $payment_method </td>
            <td> $transaction_status </td>

            <td>
               <a href='delete.php'>
               <i class='material-icons' id='coloricon'>delete </i>
               </a> 
            </td>
            </tr>                   
        ";
    } 



    ?>

<div class="modal fade" id="exampleModalLong" tabindex="-1" role="dialog" 
aria-labelledby="exampleModalLongTitle" aria-hidden="true">
<div class="modal-dialog" role="document">
<div class="modal-content">
  <div class="modal-header">
    <h5 class="modal-title" id="exampleModalLongTitle">Modal title</h5>
    <button type="button" class="close" data-dismiss="modal" aria- 
 label="Close">
      <span aria-hidden="true">&times;</span>
    </button>
  </div>
  <div class="modal-body">
      <?php 

  include("conn.php");
  $idrequest = $_GET['idrequest'];
  $query = "SELECT * from orders where id ='$idrequest'";
  $result = mysqli_query($connection,$query);
  $view = mysqli_fetch_assoc($result);
  $details = $view['summary_all'];
  echo $details;




  ?>

  </div>
  <div class="modal-footer">
    <button type="button" class="btn btn-secondary" data- 
  dismiss="modal">Close</button>
    <button type="button" class="btn btn-primary">Save changes</button>
      </div>
    </div>
  </div>

Этот код выше для модального, который я использовал загрузчик модального.

Answer 1

Я действительно не хотел писать пост на эту тему, потому что сейчас так много всего, что нужно исправить, но ваша ближайшая проблема -

    <a href='#?idrequest=$id'> .... </a>

Этот хэштег # или знак фунта,создаст то, что называется фрагментом URL.Теперь вы должны понимать, что фрагменты только на стороне клиента и не отправляются на сервер.Поэтому все, что следует за #, не будет отправленоПоэтому нет способа получить доступ к этой «псевдо» строке запроса.Поэтому, по крайней мере, бросьте #.

    <a href='?idrequest=$id'> .... </a>

Если бы вы включили отчеты об ошибках, вы увидите предупреждение для неопределенного индекса.

  <?php
      error_reporting(-1);
      ini_set('display_errors', '1');

Потому что $_GET['idrequest']не существует, в этом коде текущая форма.

Кроме того, ваш SQL широко открыт для SQLInjection, как я сказал в комментарии, если кто-то вставит URL с помощью

$_GET['idrequest'] = "1' OR 1=1"
$idrequest = $_GET['idrequest'];
"SELECT * from orders where id ='$idrequest'"

Ваш SQL-запрос изменяется следующим образом:

"SELECT * from orders where id ='1' OR 1=1"

Поскольку 1 всегда равен 1, этот «хак» всегда будет возвращать несколько строк.Поэтому всегда используйте подготовленные заявления.

Кроме того, если это общедоступно, любой пользователь может просто выполнить итерации по вашей пользовательской таблице, чтобы посмотреть заказы других пользователей.Они могут включать в себя личную информацию, такую ​​как телефон и адрес.Вы можете добавить user_id в этот поиск, который в любом случае должен быть внешним ключом в этой таблице.Этот идентификатор пользователя будет затем поступать из любой системы, которую вы используете для входа в систему (не введенные пользователем данные).Который позволил бы им видеть только их собственные заказы.

Я даже не буду касаться вопросов стилизации / форматирования, включая кнопку в ссылке.Или это специальное смешивание HTML и HTML в строках PHP, что затрудняет чтение кода.

Или это

 include("conn.php");

Что должно быть

 require "conn.php";

include и require не нуждаются в (), и вы должны использовать require, если скрипт не будет выполняться без включенного файла.Это соединение с БД, я бы сказал, что все будет не так, как запланировано, если этот файл отсутствует.

Приветствия.