使用 Mysqli_real_escape_string 處理表單資料

Habdul Hazeez 2023年1月30日 2022年5月26日
  1. 設定本地伺服器
  2. 建立資料庫和表
  3. 建立 HTML 表單
  4. 處理表格資料
  5. Mysqli_real_escape_string 中的錯誤原因
使用 Mysqli_real_escape_string 處理表單資料

本文將教你使用 mysqli_real_escape_string 處理表單資料。

首先,我們將設定一個示例資料庫和一個表。然後我們將建立一個接受使用者輸入的 HTML 表單。

之後,在 PHP 中,我們將解釋如何使用 mysqli_real_escape_string 而不會導致錯誤。

設定本地伺服器

本文的所有程式碼都將在伺服器上執行。因此,如果你可以訪問實時伺服器,則可以跳過本節並繼續下一節。

如果沒有,請安裝一個本地伺服器,例如來自 Apache Friends 的 XAMPP。安裝 XAMPP 後,找到 htdocs 資料夾並建立一個資料夾。

此資料夾將儲存本文的所有程式碼。

建立資料庫和表

在 XAMPP 中,你可以使用 phpMyAdmin 或命令列建立資料庫。如果你在命令列上,請使用以下命令登入 MySQL:

#login to mysql
mysql -u root -p

登入 MySQL 後,建立一個資料庫。在本文中,我們將資料庫稱為 my_details

CREATE database my_details

建立資料庫後,使用下一個 SQL 程式碼建立一個表。該表將儲存我們示例專案的資料。

CREATE TABLE bio_data (
id INT NOT NULL AUTO_INCREMENT,
first_name VARCHAR(50) NOT NULL,
last_name VARCHAR(50) NOT NULL,
PRIMARY KEY (id)) ENGINE = InnoDB;

建立 HTML 表單

HTML 表單將有兩個表單輸入。第一個收集使用者的名字,第二個收集姓氏。

<head>
    <meta charset="utf-8">
    <title>Process Form With mysqli_real_escape_string</title>
    <style>
        body {
            display: grid;
            justify-content: center;
            align-items: center;
            height: 100vh;
        }
    </style>
</head>
<body>
    <main>
        <form action="process_form.php" method="post">
            <label id="first_name">First Name</label>
            <input id="first_name" type="text" name="first_name" required>
            <label id="last_name">Last Name</label>
            <input id="last_name" type="text" name="last_name" required>
            <input type="submit" name="submit_form" value="Submit Form">
        </form>
    </main>
</body>

輸出:

Firefox 100 中的 HTML 表單

處理表格資料

在表單處理期間,我們使用 mysqli_real_escape_string 來轉義表單輸入。更重要的是,資料庫連線應該是 mysqli_real_escape_string 的第一個引數。

因此,我們在下面的名字和姓氏上使用了 mysqli_real_escape_string。要使用該程式碼,請將其儲存為 process_form.php

<?php
    if (isset($_POST['submit_form']) && isset($_POST["first_name"]) && isset($_POST["last_name"])) {
        // Set up a database connection.
        // Here, our password is empty
        $connection_string = new mysqli("localhost", "root", "", "my_details");

        // Escape the first name and last name using
        // mysqli_real_escape_string function. Meanwhile,
        // the first parameter to the function should
        // be the database connection. If you omit, the
        // database connection, you'll get an error.
        $first_name = mysqli_real_escape_string($connection_string, trim(htmlentities($_POST['first_name'])));
        $last_name = mysqli_real_escape_string($connection_string, trim(htmlentities($_POST['last_name'])));

        // If there is a connection error, notify
        // the user, and Kill the script.
        if ($connection_string->connect_error) {
            echo "Failed to connect to Database. Please, check your connection details.";
            exit();
        }

        // Check string length, empty strings and
        // non-alphanumeric characters.
         if ( $first_name === "" || !ctype_alnum($first_name) ||
                strlen($first_name) <= 3
            ) {
                echo "Your first name is invalid.";
                exit();
        }

         if ( $last_name === "" || !ctype_alnum($last_name) ||
                strlen($last_name) < 2
            ) {
                echo "Your last name is invalid.";
                exit();
        }

        // Insert the record into the database
        $query = "INSERT into bio_data (first_name, last_name) VALUES ('$first_name', '$last_name')";
        $stmt = $connection_string->prepare($query);
        $stmt->execute();

        if ($stmt->affected_rows === 1) {
            echo "Data inserted successfully";
        }
    } else {
        // User manipulated the HTML form or accessed
        // the script directly. Kill the script.
        echo "An unexpected error occurred. Please, try again later.";
        exit();
    }
?>

輸出(如果處理成功):

將資料插入資料庫

Mysqli_real_escape_string 中的錯誤原因

如果你在 mysqli_real_escape_string 中省略資料庫連線,你將收到錯誤訊息。所以,在下面的程式碼中,我們修改了 process_form.php

同時,這個版本沒有 mysqli_real_escape_string 中的資料庫連線。因此,當你想將資料插入資料庫時​​會出現錯誤。

<?php
    if (isset($_POST['submit_form']) && isset($_POST["first_name"]) && isset($_POST["last_name"])) {
        $connection_string = new mysqli("localhost", "root", "", "my_details");

        // We've omitted the connection string
        $first_name = mysqli_real_escape_string(trim(htmlentities($_POST['first_name'])));
        $last_name = mysqli_real_escape_string(trim(htmlentities($_POST['last_name'])));

        if ($connection_string->connect_error) {
            echo "Failed to connect to Database. Please, check your connection details.";
            exit();
        }
        if ( $first_name === "" || !ctype_alnum($first_name) ||
                strlen($first_name) <= 3
           ) {
            echo "Your first name is invalid.";
            exit();
        }

         if ( $last_name === "" || !ctype_alnum($last_name) ||
                strlen($last_name) < 2
            ) {
                echo "Your last name is invalid.";
                exit();
        }

        $query = "INSERT into bio_data (first_name, last_name) VALUES ('$first_name', '$last_name')";
        $stmt = $connection_string->prepare($query);
        $stmt->execute();

        if ($stmt->affected_rows === 1) {
            echo "Data inserted successfully";
        }
    } else {
        echo "An unexpected error occurred. Please, try again later.";
        exit();
    }
?>

示例錯誤訊息:

Fatal error: Uncaught ArgumentCountError: mysqli_real_escape_string() expects exactly 2 arguments, 1 given in C:\xampp\htdocs\processformmysqli\process_form.php:12 Stack trace: #0 C:\xampp\htdocs\processformmysqli\process_form.php(12): mysqli_real_escape_string('Johnson') #1 {main} thrown in C:\xampp\htdocs\processformmysqli\process_form.php on line 12
Habdul Hazeez avatar Habdul Hazeez avatar

Habdul Hazeez is a technical writer with amazing research skills. He can connect the dots, and make sense of data that are scattered across different media.

LinkedIn

相關文章 - MySQL PHP