PHP - mySql 查询执行两次答案

【问题标题】：PHP - mySql Query executing twicePHP - mySql 查询执行两次
【发布时间】：2013-04-26 12:28:55
【问题描述】：

我对 php 很陌生，我只是在尝试编写一个脚本，但它的编写并不恰当，因为它容易受到 SQL 注入的攻击。我打算对此进行改进，但这只有在我使用 PHP 时才有可能。当我尝试从 Java (Android) 发布变量并使用它们来查询我的数据库时，我目前面临一个问题。但是脚本执行了两次，我在我的数据库中发现了重复的记录。以下是脚本：

<?php

require 'DbConnect.php';


$Make = $_POST["Make"];
$Model = $_POST["Model"];
$Version= $_POST["Version"];
$FuelType= $_POST["FuelType"];
$Kilo = $_POST["Kilo"];
$Price= $_POST["Price"];
$Reg= $_POST["Reg"];
$Color= $_POST["Color"];
$Mdate= $_POST["Mdate"];
$Desc= $_POST["Desc"];
$Loc= $_POST["Loc"];
$Owners = $_POST["Owners"];
$Negot= $_POST["Negot"]; 
$Trans= $_POST["Trans"];
$AC= $_POST["AC"];
$car_lockk= $_POST["Lockk"];
$Sunroof= $_POST["Sunroof"];
$Window= $_POST["Window"];
$Seat= $_POST["Seats"];
$Stearing= $_POST["Stearing"];
$Music= $_POST["Player"];
$Wheels= $_POST["Wheel"];
$Sound= $_POST["Sound"];
$Drive= $_POST["Drive"]; 
$ID = $_POST["Seller_ID"];

$query2 = "INSERT INTO used_cars (make, model, version, color, \
    manufacturing_date, km_driven, fuel_type, expected_price, \
    negotiable, registration_place, no_of_owners, description, \
    current_location, transmission, ac, sunroof, window, seats, \
    stearing, player, wheels, sound_system, drive, car_lockk, seller_id) \
    VALUES ('$Make', '$Model', '$Version', '$Color', '$Mdate', '$Kilo', \
    '$FuelType', '$Price', '$Negot', '$Reg', '$Owners', '$Desc', '$Loc', \
    '$Trans', '$AC', '$Sunroof', '$Window', '$Seat', '$Stearing', \
    '$Music', '$Wheels', '$Sound', '$Drive', '$car_lockk', '$ID')";

if(mysql_query($query2)){
    echo 'success';
    //echo $Img
}else{
    echo 'Fail';
}

?>

【问题讨论】：

此代码易受SQL injection 的攻击，mysql_ 函数已被弃用。请改为通过MySQLi 使用参数化查询。
在执行了两次点击后，您知道，例如，如果我发布我的数据，使用 query() 函数引导到您的页面，即刷新页面，它将发布又是相同的数据？
取消注释if 语句，数据插入成功后重定向。也请使用mySQLi 或PDO。
如果使用 foreach 循环，可以节省大量代码：foreach(array("make","whatever") as $col){ if(isset($_POST[$col])){ /*COPY AND ESCAPE*/} else {/*ERROR*/}}
@Polynomial 这不仅仅是易受攻击，我会努力编写更多易受攻击的代码。

标签： php android mysql mysqli

【解决方案1】：

除非您正在刷新页面，或者您的连接脚本中的某些内容导致它发生，否则没有理由执行两次代码。

我的建议是放慢速度，您的脚本只有几行，但您的原始格式几乎无法阅读。你在不同的位置有等号、无用的空白和不稳定的间距，我试图为 SO 观众编辑出来。

尝试在第一时间做正确的事情。放弃mysql 语法，查找mysqli (documentation & examples) 并使用面向对象的接口实现您的代码——这要简单得多。

您的固定代码如下所示：

<?php
    // Create DB connection object
    $mysqli = new mysqli("localhost","username","password","database");

    // Get our POST variables
    $make = $_POST["Make"];
    ... put them here ...
    $id = $_POST["Seller_ID"];

    // Create our base query and bind parameters
    $query = $mysqli->prepare("INSERT INTO used_cars (make, ..., id) VALUES (?, ..., ?)");
    $query->bind_param('s...i', $make, ..., $id);

    if($query->execute()) { // Will return true on success
        echo "Success";
    } else {
        echo "Fail";
    }
?>

bind_param 的第一个参数是数据类型列表：s = string、i = int 等。您需要以正确的顺序正确列出这些。如果您需要帮助，请参阅文档。绑定参数完全消除了 SQL 注入攻击的可能性，是传递用户输入值时使用 MySQL 的首选方式。

在不相关的注释中，通常在 PHP 中，我们以小写字母开头变量名。大写字母保留给类名。

【讨论】：

谢谢你，伙计，我会尝试改进代码，但是我参考的教程反过来教我猜他们是过时的教程。您的建议非常有帮助，非常感谢:) 我想问题出在我的 java 代码上，不知何故该代码调用了我的 PHP 两次。您的回答得到了很好的解释，再次感谢:)
是的，不幸的是，有很多教程教授旧方法，这意味着很多人在您的情况下使用已弃用的功能。祝你的程序好运。

【解决方案2】：

如果查询执行良好，则页面将重定向到另一个页面。因此，我们避免第二次插入数据。

【讨论】：