Hướng dẫn how to run sql query in html page - cách chạy truy vấn sql trong trang html

Tôi viết một lệnh hoặc tôi điền vào giá trị tham số từ trường nhập người dùng. Nhấp vào nút, gửi lệnh này đến PHP và gửi giá trị kết quả trở lại HTML để hiển thị. Ví dụ. Trên trang HTML:

select ___ from ____, 

Hai trường đầu vào có sẵn Tôi điền vào "TableNameOne" và "ValueOne". Sau đó, kết quả sẽ được in trên trường văn bản HTML trên cùng một trang.

Những gì tôi biết là những giá trị đó có thể được gửi (có lẽ) như ở định dạng như vậy

$('input[name="talbename"]') 
$('input[name="value"]')
example.com?tablename=tablenameone&value=valueone

và từ phía php tôi sử dụng

 $sql="SELECT '$_GET['value']' FROM '$_GET['tablename']';

Điều tôi không biết là .... chính xác thì tôi nên thực hiện điều này như thế nào trong một chức năng nhấp chuột? Nó chắc chắn sử dụng ajax. Nhưng làm thế nào tôi có thể sản xuất ví dụ.com?tablename=tablenameOne&value=ValueOne và tôi nên đặt $ ('' đầu vào [name = "value"] ') ở đâu

Cảm ơn trước: D

Đã hỏi ngày 17 tháng 10 năm 2011 lúc 15:12Oct 17, 2011 at 15:12

5

Bạn không được sử dụng đầu vào trực tiếp trong các truy vấn của mình vì bạn sẽ mở cho các cuộc tấn công tiêm SQL.

$sql="SELECT '$_GET['value']' FROM '$_GET['tablename']';

Thay vào đó, hãy sử dụng những điều sau:

$column = $_GET['value'];
$table = $_GET['tablename'];
$sql = sprintf("SELECT %s FROM %s;",
             mysql_real_escape_string($column),
             mysql_real_escape_string($table));

Mặc dù bạn vẫn đang phơi bày quá nhiều "thông tin bên trong" bằng cách cung cấp cho mọi người một trang cho họ biết tất cả các tên bảng và cột của bạn!

Dù sao, đây là một ví dụ hoàn chỉnh;

    

        
Select Data
        
Table

        
            Students
        
        
Table

        
            First Name
            Last Name
        
        

    

';
while($row = mysql_fetch_array($result)) { 
    echo '
' . $row[$column] . '
';
}
echo '';

mysql_close($connection); 
?>

Đã trả lời ngày 17 tháng 10 năm 2011 lúc 15:23Oct 17, 2011 at 15:23

FentonfentonFenton

Phim thương hiệu vàng 231K6868 gold badges380 silver badges394 bronze badges

Có vẻ như không ai thực sự đã trả lời câu hỏi (mặc dù tất cả đều là những điểm tốt, tôi sẽ cho rằng có một lý do cho việc bạn làm điều này), tôi sẽ trả lời:

$('form[name=formname]').submit(function(e){
    e.preventDefault;
    var tablename = $('input[name="tablename"]').val();
    var value = $('input[name="value"]').val();
    $.get("example.php?tablename="+tablename+"&value="+value, function(data){
         $('body div').text(data);
    })
});

PHP:

$sql=mysql_query("SELECT '$_GET['value']' FROM '$_GET['tablename']'")or die(mysql_error());
$sqlOutput = mysql_fetch_array($sql);
echo "
";
print_r($sqlOutput);
echo "
";

Rõ ràng thay thế formname bằng tên biểu mẫu của bạn, body div bằng tên của phần tử bạn muốn đầu ra đi vào và tất cả các định danh khác được thay thế khi thấy phù hợp. Sau đó thay đổi đầu ra trong PHP cho phù hợp với nhu cầu của bạn.

Một lần nữa, hãy ghi nhớ các bài viết liên quan đến SQLI, bởi vì bạn có một vấn đề rất nghiêm trọng ở đó.

Đã trả lời ngày 17 tháng 10 năm 2011 lúc 15:32Oct 17, 2011 at 15:32

Rickyduckrickyduckrickyduck

3.95014 Huy hiệu vàng57 Huy hiệu bạc90 Huy hiệu Đồng14 gold badges57 silver badges90 bronze badges

2

Bạn thực sự muốn đảm bảo rằng bạn không mở SQL tiêm.

Bạn có thể sử dụng các câu lệnh đã chuẩn bị MySQL

hoặc

Sử dụng chức năng PHP ____1010

Đọc chủ đề này: Làm thế nào tôi có thể ngăn ngừa tiêm SQL trong PHP?

Tôi không chắc ý của bạn là gì về chức năng nhấp chuột.

Đã trả lời ngày 17 tháng 10 năm 2011 lúc 15:24Oct 17, 2011 at 15:24

Derek organderek organDerek Organ

8.14317 Huy hiệu vàng55 Huy hiệu bạc75 Huy hiệu Đồng17 gold badges55 silver badges75 bronze badges

Bạn có thể chạy SQL trong HTML không?

Làm thế nào để bạn chạy một truy vấn trong HTML?

Làm cách nào để chạy truy vấn SQL trên trang web?

Làm cách nào để chèn SQL vào HTML?