使用 Mysqli_real_escape_string 處理表單資料
Habdul Hazeez
2024年2月15日
本文將教你使用 mysqli_real_escape_string 處理表單資料。
首先,我們將設定一個示例資料庫和一個表。然後我們將建立一個接受使用者輸入的 HTML 表單。
之後,在 PHP 中,我們將解釋如何使用 mysqli_real_escape_string 而不會導致錯誤。
設定本地伺服器
本文的所有程式碼都將在伺服器上執行。因此,如果你可以訪問實時伺服器,則可以跳過本節並繼續下一節。
如果沒有,請安裝一個本地伺服器,例如來自 Apache Friends 的 XAMPP。安裝 XAMPP 後,找到 htdocs 資料夾並建立一個資料夾。
此資料夾將儲存本文的所有程式碼。
建立資料庫和表
在 XAMPP 中,你可以使用 phpMyAdmin 或命令列建立資料庫。如果你在命令列上,請使用以下命令登入 MySQL:
#login to mysql
mysql -u root -p
登入 MySQL 後,建立一個資料庫。在本文中,我們將資料庫稱為 my_details。
CREATE database my_details
建立資料庫後,使用下一個 SQL 程式碼建立一個表。該表將儲存我們示例專案的資料。
CREATE TABLE bio_data (
id INT NOT NULL AUTO_INCREMENT,
first_name VARCHAR(50) NOT NULL,
last_name VARCHAR(50) NOT NULL,
PRIMARY KEY (id)) ENGINE = InnoDB;
建立 HTML 表單
HTML 表單將有兩個表單輸入。第一個收集使用者的名字,第二個收集姓氏。
<head>
<meta charset="utf-8">
<title>Process Form With mysqli_real_escape_string</title>
<style>
body {
display: grid;
justify-content: center;
align-items: center;
height: 100vh;
}
</style>
</head>
<body>
<main>
<form action="process_form.php" method="post">
<label id="first_name">First Name</label>
<input id="first_name" type="text" name="first_name" required>
<label id="last_name">Last Name</label>
<input id="last_name" type="text" name="last_name" required>
<input type="submit" name="submit_form" value="Submit Form">
</form>
</main>
</body>
輸出:
處理表格資料
在表單處理期間,我們使用 mysqli_real_escape_string 來轉義表單輸入。更重要的是,資料庫連線應該是 mysqli_real_escape_string 的第一個引數。
因此,我們在下面的名字和姓氏上使用了 mysqli_real_escape_string。要使用該程式碼,請將其儲存為 process_form.php。
<?php
if (isset($_POST['submit_form']) && isset($_POST["first_name"]) && isset($_POST["last_name"])) {
// Set up a database connection.
// Here, our password is empty
$connection_string = new mysqli("localhost", "root", "", "my_details");
// Escape the first name and last name using
// mysqli_real_escape_string function. Meanwhile,
// the first parameter to the function should
// be the database connection. If you omit, the
// database connection, you'll get an error.
$first_name = mysqli_real_escape_string($connection_string, trim(htmlentities($_POST['first_name'])));
$last_name = mysqli_real_escape_string($connection_string, trim(htmlentities($_POST['last_name'])));
// If there is a connection error, notify
// the user, and Kill the script.
if ($connection_string->connect_error) {
echo "Failed to connect to Database. Please, check your connection details.";
exit();
}
// Check string length, empty strings and
// non-alphanumeric characters.
if ( $first_name === "" || !ctype_alnum($first_name) ||
strlen($first_name) <= 3
) {
echo "Your first name is invalid.";
exit();
}
if ( $last_name === "" || !ctype_alnum($last_name) ||
strlen($last_name) < 2
) {
echo "Your last name is invalid.";
exit();
}
// Insert the record into the database
$query = "INSERT into bio_data (first_name, last_name) VALUES ('$first_name', '$last_name')";
$stmt = $connection_string->prepare($query);
$stmt->execute();
if ($stmt->affected_rows === 1) {
echo "Data inserted successfully";
}
} else {
// User manipulated the HTML form or accessed
// the script directly. Kill the script.
echo "An unexpected error occurred. Please, try again later.";
exit();
}
?>
輸出(如果處理成功):
Mysqli_real_escape_string 中的錯誤原因
如果你在 mysqli_real_escape_string 中省略資料庫連線,你將收到錯誤訊息。所以,在下面的程式碼中,我們修改了 process_form.php。
同時,這個版本沒有 mysqli_real_escape_string 中的資料庫連線。因此,當你想將資料插入資料庫時會出現錯誤。
<?php
if (isset($_POST['submit_form']) && isset($_POST["first_name"]) && isset($_POST["last_name"])) {
$connection_string = new mysqli("localhost", "root", "", "my_details");
// We've omitted the connection string
$first_name = mysqli_real_escape_string(trim(htmlentities($_POST['first_name'])));
$last_name = mysqli_real_escape_string(trim(htmlentities($_POST['last_name'])));
if ($connection_string->connect_error) {
echo "Failed to connect to Database. Please, check your connection details.";
exit();
}
if ( $first_name === "" || !ctype_alnum($first_name) ||
strlen($first_name) <= 3
) {
echo "Your first name is invalid.";
exit();
}
if ( $last_name === "" || !ctype_alnum($last_name) ||
strlen($last_name) < 2
) {
echo "Your last name is invalid.";
exit();
}
$query = "INSERT into bio_data (first_name, last_name) VALUES ('$first_name', '$last_name')";
$stmt = $connection_string->prepare($query);
$stmt->execute();
if ($stmt->affected_rows === 1) {
echo "Data inserted successfully";
}
} else {
echo "An unexpected error occurred. Please, try again later.";
exit();
}
?>
示例錯誤訊息:
Fatal error: Uncaught ArgumentCountError: mysqli_real_escape_string() expects exactly 2 arguments, 1 given in C:\xampp\htdocs\processformmysqli\process_form.php:12 Stack trace: #0 C:\xampp\htdocs\processformmysqli\process_form.php(12): mysqli_real_escape_string('Johnson') #1 {main} thrown in C:\xampp\htdocs\processformmysqli\process_form.php on line 12
作者: Habdul Hazeez
Habdul Hazeez is a technical writer with amazing research skills. He can connect the dots, and make sense of data that are scattered across different media.
LinkedIn