PHP MYSQL Гиперссылки и формы снова

Question

Ребята, мне не очень повезло ... и я попробовал и попробовал. Включили код ниже. Я делаю это в Dreamweaver отсюда смешной код. Это страница редактирования. Я успешно проанализировал значение 'bet_id' со страницы 1 на эту страницу. Он заполняет поля формы правильными значениями 'bet_id' и 'Category_id' на основе значения, проанализированного на странице 1. Проблема возникает, когда я обновляю значения в форме. Если я обновлю значение 'category_id' и нажму кнопку Обновить ставку, скрипт не обновит запись ставки в моей базе данных. Любая помощь высоко ценится.

<?php require_once('../Connections/punters_c.php'); ?>
<?php
mysql_select_db($database_punters_c, $punters_c);

$query_Recordset1       = "SELECT bet_id, punter_id,category_id FROM betslip where bet_id =".intval($_REQUEST['bet_id']);
$Recordset1             = mysql_query($query_Recordset1, $punters_c) or die(mysql_error());
$row_Recordset1         = mysql_fetch_assoc($Recordset1);
$totalRows_Recordset1   = mysql_num_rows($Recordset1);


##the below function removes dodgy field values

function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") 
{
  $theValue = (!get_magic_quotes_gpc()) ? addslashes($theValue) : $theValue;

  switch ($theType) {
    case "text":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;    
    case "long":
    case "int":
      $theValue = ($theValue != "") ? intval($theValue) : "NULL";
      break;
    case "double":
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";
      break;
    case "date":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;
    case "defined":
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
      break;
  }
  return $theValue;
}
$editFormAction = $_SERVER['PHP_SELF'];
if (isset($_SERVER['QUERY_STRING'])) {
  $editFormAction .= "?" . htmlentities($_SERVER['QUERY_STRING']);
}
?>
<?
                // edit.php
if ((isset($_POST["apply"])) && ($_POST["apply"] == "update_betslip_detail")){

        $query = sprintf("  UPDATE betslip 
                            SET category_id = '%d' 
                            WHERE bet_id = %d", 
                            mysql_real_escape($_POST['category_id']),
                            mysql_real_escape($_POST['bet_id'])
                                                                );

  mysql_select_db($database_punters_c, $punters_c);
  $Result1 = mysql_query($query, $punters_c) or die('Connection error to MYSQL occurred: '.(mysql_error()));

        header("Location: /update_betslip_test.php");

    }
    else 
    {
        echo "bet detail not updated";
    }
    ?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1" />
<title>Untitled Document</title>
</head>

<body>
    <form action="<?php echo $editFormAction; ?>" method="POST" enctype="multipart/form-data" name="update_betslip_detail">

    <input type="text"      name="bet id"       id = "bet_id"       value="<?php echo $row_Recordset1['bet_id']; ?>"/>
    <input type="text"      name="category_id"  id = "category_id"  value="<?php echo $row_Recordset1['category_id']; ?>"/>


    <input type="hidden"    name= "apply"       value="update_betslip_detail"/>

    <input type="submit"    value="Update bet"/>
    </form>

    <p><a href="update_betslip_test.php">Back to Update page </a></p>
</body></html>
<?php
mysql_free_result($Recordset1);
?>

Answer 1

Во-первых, нет функции с именем mysql_real_escape(), поэтому ее вызов должен привести к фатальной ошибке (если только вы не определили ее сами).Кроме того: поскольку вы используете sprintf(..., '%d'), использование mysql_real_escape_string() (правильная функция для экранирования строк) не требуется.

Примечание по теме (но не связано с вашей первоначальной проблемой): вам не следуетaddslashes() вверх в вашей функции GetSQLValueString().Это тоже должно быть mysql_real_escape_string().Просто вызов addslashes() будет работать для законного ввода (например, превратить O'Brien в O\'Brien), но не будет работать для некоторых типов злонамеренного ввода.