php 公司名称登记表

5jvtdoz2  于 2023-06-04  发布在  PHP
关注(0)|答案(1)|浏览(150)

FYI新的编码,自学成才,去容易。
我有一个创建新SQL表的注册表单。他们输入的公司名称将成为每次登录时新创建的表的表名。
除了表名变量中存在一个漏洞之外,一切都运行得很好。
我使用PHP和MySQL。
如果公司名称在两个单词之间有空格,我最初会遇到问题,但我使用str_replace解决了这个问题
我做了很多测试,发现如果我把一个公司的名字放在“out”里,它就破坏了代码。
我收到此错误消息:
“致命错误:未捕获的mysqli_sql_exception:您的SQL语法有错误;检查与您的MySQL服务器版本对应的手册,以获得正确的语法来使用near 'out(id INT UNSIGNED AUTO_INCREMENT PRIMARY KEY,first_name VARCHAR(128)NOT ' at line 1 in C:\Users\reece.grover\OneDrive\XML Website\opregister.php:73 Stack trace:#0 C:\Users\reece.grover\OneDrive\XML Website\opregister.php(73):在C:\Users\reece.grover\OneDrive\XML Website\opregister.php第73行中,您可以通过以下方式访问我们的网站:
这似乎不仅容易出错,而且容易导致SQL注入。
我学习了如何使用bind_param,但这仍然阻止了CREATE TABLE函数的潜在代码破坏。
下面是我的服务器端PHP代码,表单只是一个简单的HTML表单,带有Bootstrap。

//remove spaces
    $company = str_replace(' ', '', $_POST["company"]);
    //hash Password
    $password_hash = password_hash($_POST["password"], PASSWORD_DEFAULT);
    
    // Create new Operator
    $mysql = require __DIR__ . "/database.php";
    
    $sql = "INSERT INTO operators (first_name, last_name, email, password_hash, company) 
            VALUES (?, ?, ?, ?, ?)";
    
    $stmt = $mysql->stmt_init();
    
    
    if ( ! $stmt ->prepare($sql)){
        die("SQL error: " . $mysql->error);
    }
    
    $stmt->bind_param("sssss",
                        $_POST["first_name"],
                        $_POST["last_name"],
                        $_POST["email"],
                        $password_hash,
                        $company);
                         
    if ( ! $stmt->execute()) {
        die($mysqli->error . " " . $mysqli->errno);
    }
    
    
    
    //Create the new company table
    
    $sql = "CREATE TABLE $company (
    id INT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    first_name VARCHAR(128) NOT NULL,
    last_name VARCHAR(128) NOT NULL,
    email VARCHAR(255) NOT NULL UNIQUE,
    company VARCHAR(128),
    credit VARCHAR(60),
    phone VARCHAR(60))";
    
    if ( ! $mysql->query($sql)) {
        die("Create Table Failed : " . $mysql->error);
    }
    
    $sql = "INSERT INTO $company (first_name, last_name, email, company, credit, phone) 
            VALUES (?, ?, ?, ?, ?, ?)";
    
    $stmt = $mysql->stmt_init();
    
    
    
    if ( ! $stmt ->prepare($sql)){
    die("SQL error: " . $mysql->error);
    }
    
    $stmt->bind_param("ssssss",
                        $_POST["first_name"],
                        $_POST["last_name"],
                        $_POST["email"],
                        $company,
                        $_POST["credit"],
                        $_POST["phone"]);
                         
    if ($stmt->execute()) {
    
        header("Location: signup_success.php");
        exit;
vsaztqbk

vsaztqbk1#

您应该有一个预定义的companies表,而不是单独的company_name表。您也绝对不应该根据用户输入创建表。
提前创建公司表:

CREATE TABLE companies (
  id INT PRIMARY KEY AUTO_INCREMENT,
  company_name VARCHAR(255),
  email VARCHAR(255),
  phone VARCHAR(20)
);

然后你可以将数据INSERT到这个表中:

$stmt = $conn->prepare("INSERT INTO companies (company_name, email, phone) VALUES (?, ?, ?)");
//Example company data
$companyName = "Example Company";
$email = "info@example.com";
$phone = "123-456-7890";
$stmt->bind_param("sss", $companyName, $email, $phone);
$stmt->execute();

每个公司都插入到该表中。它们由id列区分。
您还可以在operators表上添加外键约束。

ALTER TABLE operators
ADD COLUMN company_id INT,
ADD CONSTRAINT key_constraint_company_id FOREIGN KEY (company_id) REFERENCES company(id);

如果您希望在删除操作员时删除公司数据,可以执行DELETE CASCADE

ALTER TABLE operators
ADD COLUMN company_id INT,
ADD CONSTRAINT key_constraint_company_id FOREIGN KEY (company_id) REFERENCES company(id) ON DELETE CASCADE;

相关问题