【发布时间】:2012-05-14 16:34:20
【问题描述】:
您好,我正在构建软件下载站点。并且需要通过下拉菜单对软件进行排序 我已经通过 w3Schools 示例 (see here) 通过 AJAX 对数据进行排序,并根据我的要求进行了一些更改,但它无法正常工作,当我选择从 选择任何类别 对数据进行排序时,它向我展示了整个数据库中的数据,未根据选择要排序的类别对其进行排序。
我做错了什么
请帮忙。
HTML
<form>
<select name="users" onchange="showUser(this.value)">
<option value="">Select a person:</option>
<option value="id">id</option>
<option value="title">title</option>
<option value="image">image</option>
<option value="description">description</option>
<option value="description">rating</option>
<option value="download">download</option>
<option value="buy">buy</option>
</select>
</form>
<br />
<div id="txtHint">content</div>
Javascript(AJAX)
<script type="text/javascript">
function showUser(str)
{
if (str=="")
{
document.getElementById("txtHint").innerHTML="";
return;
}
if (window.XMLHttpRequest)
{// code for IE7+, Firefox, Chrome, Opera, Safari
xmlhttp=new XMLHttpRequest();
}
else
{// code for IE6, IE5
xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
}
xmlhttp.onreadystatechange=function()
{
if (xmlhttp.readyState==4 && xmlhttp.status==200)
{
document.getElementById("txtHint").innerHTML=xmlhttp.responseText;
}
}
xmlhttp.open("GET","getuser.php?q="+str,true);
xmlhttp.send();
}
PHP
<?php
$q=$_GET["q"];
$con = mysql_connect('localhost', 'root', '');
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("security_software", $con);
$sql="SELECT * FROM internet_security ORDER by '".$q."' DESC" ;
$result = mysql_query($sql);
echo "<table border='1'>
<tr>
<th>id</th>
<th>title</th>
<th>image</th>
<th>description</th>
<th>rating</th>
<th>download</th>
<th>buy</th>
</tr>";
while($row = mysql_fetch_array($result))
{
echo "<tr>";
echo "<td>" . $row['id'] . "</td>";
echo "<td>" . $row['title'] . "</td>";
echo "<td>" . $row['image'] . "</td>";
echo "<td>" . $row['description'] . "</td>";
echo "<td>" . $row['rating'] . "</td>";
echo "<td>" . $row['download'] . "</td>";
echo "<td>" . $row['buy'] . "</td>";
echo "</tr>";
}
echo "</table>";
mysql_close($con);
?>
【问题讨论】:
-
存在一个 SQL 注入漏洞:您将
$_GET["q"]直接插入到您的查询中。 -
@MrCode,有趣的是数据库被称为
security_software...而表名是internet_security... -
在这种情况下,漏洞修复很简单:
$q=mysql_real_escape_string($_GET["q"]);。但是你真的应该看看PDO 和准备好的陈述。另外,请参阅此以获得详细说明:bobby-tables.com -
使用
mysql_real_escape_string()的 SQLi 快速修复,但考虑参数化查询。关于实际问题 - 在尝试使用 ajax 使用 PHP 之前,您是否验证过 PHP 是否按预期工作?
标签: php javascript mysql html ajax