公司名稱登記表

Question

<p>僅供參考，編碼新手，自學，放輕鬆......</p> <p>我有一個註冊表單，用於建立新的 SQL 表。他們輸入的公司名稱將成為每次登入時新表的表名。 </p> <p>除了表名變數存在漏洞之外，一切都運作良好。 </p> <p>我正在使用 PHP 和 MySQL。 </p> <p>如果公司名稱在 2 個字之間有空格，我最初會遇到問題，但我使用 str_replace 修復了該問題</p> <p>我進行了很多測試，發現如果我將公司名稱放入「out」中，就會破壞程式碼。 </p> <p>我收到此錯誤訊息：</p> <p>「致命錯誤：未捕獲mysqli_sql_exception：您的SQL 語法有錯誤；請檢查與您的MySQL 伺服器版本相對應的手冊，以了解在'out 附近使用的正確語法（ id INT UNSIGNED AUTO_INCRMENT PRIMARY KEY, first_name VARCHAR(128 ) NOT ' 在C:\Users\reece.grover\OneDrive\XML Website\opregister.php:73 中的第1 行處堆疊追蹤: #0 C:\Users\reece.grover\OneDrive\XML Website \opregister.php(73 ): mysqli->query('CREATE TABLE ou...') #1 {main} 在第73 行的C:\Users\reece.grover\OneDrive\XML Website\opregister.php中拋出”</p> <p>這似乎不僅會導致錯誤，還會導致 SQL 注入。 </p> <p>我學會如何bind_param，但這仍然阻止了 CREATE TABLE 函數的潛在程式碼破壞。 </p> <p>這是我的伺服器端 PHP 程式碼，該表單只是一個帶有 Bootstrap 的簡單 HTML 表單。</p>

//去掉空格
    $company = str_replace(' ', '', $_POST[“公司”]);
    //哈希密碼
    $password_hash =password_hash($_POST[「密碼」], PASSWORD_DEFAULT);
    
    // 建立新的運算符
    $mysql = 需要 __DIR__ 。 “/database.php”；
    
    $sql =「INSERT INTO 運算子（姓名、姓氏、電子郵件、密碼雜湊、公司）
            值（？，？，？，？，？）」；
    
    $stmt = $mysql->stmt_init();
    
    
    if ( ! $stmt -> 準備($sql)){
        die("SQL 錯誤：" . $mysql->error);
    }
    
    $stmt->bind_param(“sssss”,
                        $_POST[“名字”],
                        $_POST[“姓氏”],
                        $_POST[“電子郵件”],
                        $密碼哈希值，
                        $公司）；
                         
    if (!$stmt->execute()) {
        die($mysqli->error . " " . $mysqli->errno);
    }
    
    
    
    //建立新的公司表
    
    $sql = "建立表格$company (
    id INT 無符號自動遞增主鍵，
    名字 VARCHAR(128) NOT NULL,
    姓氏 VARCHAR(128) NOT NULL,
    電子郵件 VARCHAR(255) NOT NULL UNIQUE,
    公司 VARCHAR(128),
    貸方 VARCHAR(60),
    電話 VARCHAR(60))";
    
    if (!$mysql->query($sql)) {
        die(「建立表失敗：」。$mysql->error);
    }
    
    $sql =「插入$company（名字，姓氏，電子郵件，公司，信用，電話）
            值（？，？，？，？，？，？）」；
    
    $stmt = $mysql->stmt_init();
    
    
    
    if ( ! $stmt -> 準備($sql)){
    die("SQL 錯誤：" . $mysql->error);
    }
    
    $stmt->bind_param(“ssssss”,
                        $_POST[“名字”],
                        $_POST[“姓氏”],
                        $_POST[“電子郵件”],
                        $公司，
                        $_POST[「貸方」],
                        $_POST[“電話”]);
                         
    if ($stmt->execute()) {
    
        header(“位置：signup_success.php”);
        退出；</pre></p>

Answer 1

您應該有一個預先定義的公司表，而不是單獨的 company_name 表。您也不應該根據使用者輸入建立表。

預先建立公司表：

CREATE TABLE companies (
  id INT PRIMARY KEY AUTO_INCREMENT,
  company_name VARCHAR(255),
  email VARCHAR(255),
  phone VARCHAR(20)
);

然後您可以將資料INSERT到此表中：

$stmt = $conn->prepare("INSERT INTO companies (company_name, email, phone) VALUES (?, ?, ?)");
//Example company data
$companyName = "Example Company";
$email = "info@example.com";
$phone = "123-456-7890";
$stmt->bind_param("sss", $companyName, $email, $phone);
$stmt->execute();

每個公司都插入到此表中。它們透過 id 列進行區分。

您也可以在operators 表上新增外鍵約束。

ALTER TABLE operators
ADD COLUMN company_id INT,
ADD CONSTRAINT key_constraint_company_id FOREIGN KEY (company_id) REFERENCES company(id);

如果您希望在刪除操作員時刪除公司數據，您可以執行DELETE CASCADE：

ALTER TABLE operators
ADD COLUMN company_id INT,
ADD CONSTRAINT key_constraint_company_id FOREIGN KEY (company_id) REFERENCES company(id) ON DELETE CASCADE;