公司名稱登記表
<p>僅供參考,編碼新手,自學,放輕鬆......</p>
<p>我有一個註冊表單,用於建立新的 SQL 表。他們輸入的公司名稱將成為每次登入時新表的表名。 </p>
<p>除了表名變數存在漏洞之外,一切都運作良好。 </p>
<p>我正在使用 PHP 和 MySQL。 </p>
<p>如果公司名稱在 2 個字之間有空格,我最初會遇到問題,但我使用 str_replace 修復了該問題</p>
<p>我進行了很多測試,發現如果我將公司名稱放入「out」中,就會破壞程式碼。 </p>
<p>我收到此錯誤訊息:</p>
<p>「致命錯誤:未捕獲mysqli_sql_exception:您的SQL 語法有錯誤;請檢查與您的MySQL 伺服器版本相對應的手冊,以了解在'out 附近使用的正確語法( id INT UNSIGNED AUTO_INCRMENT PRIMARY KEY, first_name VARCHAR(128 ) NOT ' 在C:\Users\reece.grover\OneDrive\XML Website\opregister.php:73 中的第1 行處堆疊追蹤: #0 C:\Users\reece.grover\OneDrive\XML Website \opregister.php(73 ): mysqli->query('CREATE TABLE ou...') #1 {main} 在第73 行的C:\Users\reece.grover\OneDrive\XML Website\opregister.php中拋出”</p>
<p>這似乎不僅會導致錯誤,還會導致 SQL 注入。 </p>
<p>我學會如何bind_param,但這仍然阻止了 CREATE TABLE 函數的潛在程式碼破壞。 </p>
<p>這是我的伺服器端 PHP 程式碼,該表單只是一個帶有 Bootstrap 的簡單 HTML 表單。</p>
//去掉空格
$company = str_replace(' ', '', $_POST[“公司”]);
//哈希密碼
$password_hash =password_hash($_POST[「密碼」], PASSWORD_DEFAULT);
// 建立新的運算符
$mysql = 需要 __DIR__ 。 “/database.php”;
$sql =「INSERT INTO 運算子(姓名、姓氏、電子郵件、密碼雜湊、公司)
值(?,?,?,?,?)」;
$stmt = $mysql->stmt_init();
if ( ! $stmt -> 準備($sql)){
die("SQL 錯誤:" . $mysql->error);
}
$stmt->bind_param(“sssss”,
$_POST[“名字”],
$_POST[“姓氏”],
$_POST[“電子郵件”],
$密碼哈希值,
$公司);
if (!$stmt->execute()) {
die($mysqli->error . " " . $mysqli->errno);
}
//建立新的公司表
$sql = "建立表格$company (
id INT 無符號自動遞增主鍵,
名字 VARCHAR(128) NOT NULL,
姓氏 VARCHAR(128) NOT NULL,
電子郵件 VARCHAR(255) NOT NULL UNIQUE,
公司 VARCHAR(128),
貸方 VARCHAR(60),
電話 VARCHAR(60))";
if (!$mysql->query($sql)) {
die(「建立表失敗:」。$mysql->error);
}
$sql =「插入$company(名字,姓氏,電子郵件,公司,信用,電話)
值(?,?,?,?,?,?)」;
$stmt = $mysql->stmt_init();
if ( ! $stmt -> 準備($sql)){
die("SQL 錯誤:" . $mysql->error);
}
$stmt->bind_param(“ssssss”,
$_POST[“名字”],
$_POST[“姓氏”],
$_POST[“電子郵件”],
$公司,
$_POST[「貸方」],
$_POST[“電話”]);
if ($stmt->execute()) {
header(“位置:signup_success.php”);
退出;</pre></p>