我的排序方法有什么问题(AJAX,PHP MySQL)

【问题标题】:What's wrong in my sorting method (AJAX, PHP&MySQL)我的排序方法有什么问题(AJAX,PHP MySQL)
【发布时间】:2012-05-14 16:34:20
【问题描述】:

您好,我正在构建软件下载站点。并且需要通过下拉菜单对软件进行排序 我已经通过 w3Schools 示例 (see here) 通过 AJAX 对数据进行排序,并根据我的要求进行了一些更改,但它无法正常工作,当我选择从 选择任何类别 对数据进行排序时,它向我展示了整个数据库中的数据,未根据选择要排序的类别对其进行排序。

我做错了什么

请帮忙。

HTML

    <form>
<select name="users" onchange="showUser(this.value)">
<option value="">Select a person:</option>
<option value="id">id</option>
<option value="title">title</option>
<option value="image">image</option>
<option value="description">description</option>
<option value="description">rating</option>
<option value="download">download</option>
<option value="buy">buy</option>
</select>
</form>
<br />
<div id="txtHint">content</div>

Javascript(AJAX)

    <script type="text/javascript">
function showUser(str)
{
if (str=="")
  {
  document.getElementById("txtHint").innerHTML="";
  return;
  }
if (window.XMLHttpRequest)
  {// code for IE7+, Firefox, Chrome, Opera, Safari
  xmlhttp=new XMLHttpRequest();
  }
else
  {// code for IE6, IE5
  xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
  }
xmlhttp.onreadystatechange=function()
  {
  if (xmlhttp.readyState==4 && xmlhttp.status==200)
    {
    document.getElementById("txtHint").innerHTML=xmlhttp.responseText;
    }
  }
xmlhttp.open("GET","getuser.php?q="+str,true);
xmlhttp.send();
}

PHP

    <?php
$q=$_GET["q"];

$con = mysql_connect('localhost', 'root', '');
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

mysql_select_db("security_software", $con);

$sql="SELECT * FROM internet_security ORDER by '".$q."' DESC" ;


$result = mysql_query($sql);

echo "<table border='1'>
<tr>
<th>id</th>
<th>title</th>
<th>image</th>
<th>description</th>
<th>rating</th>
<th>download</th>
<th>buy</th>
</tr>";

while($row = mysql_fetch_array($result))
  {
  echo "<tr>";
  echo "<td>" . $row['id'] . "</td>";
  echo "<td>" . $row['title'] . "</td>";
  echo "<td>" . $row['image'] . "</td>";
  echo "<td>" . $row['description'] . "</td>";
  echo "<td>" . $row['rating'] . "</td>";
  echo "<td>" . $row['download'] . "</td>";
  echo "<td>" . $row['buy'] . "</td>";
  echo "</tr>";
  }
echo "</table>";

mysql_close($con);
?>

【问题讨论】:

  • w3schools 不是 w3c。 (ref)
  • 存在一个 SQL 注入漏洞:您将 $_GET["q"] 直接插入到您的查询中。
  • @MrCode,有趣的是数据库被称为security_software...而表名是internet_security...
  • 在这种情况下,漏洞修复很简单:$q=mysql_real_escape_string($_GET["q"]);。但是你真的应该看看PDO 和准备好的陈述。另外,请参阅此以获得详细说明:bobby-tables.com
  • 使用mysql_real_escape_string() 的 SQLi 快速修复,但考虑参数化查询。关于实际问题 - 在尝试使用 ajax 使用 PHP 之前,您是否验证过 PHP 是否按预期工作?

标签: php javascript mysql html ajax


【解决方案1】:

PHP 无法工作,因为您在ORDER BY 子句中使用了单引号。这不会按指定字段对它们进行排序,因为您正在传递一个字符串。

试试反引号:

$sql="SELECT * FROM internet_security ORDER by `".$q."` DESC" ;

我还建议对 order by 子句使用值的白名单,因为它是一个字段名称,您不希望在其中允许任何字符串(即使它已经通过 real_escape)。设置一组可能的值并只允许这些值。

【讨论】:

  • 好人。按文字字符串排序几乎肯定会导致此问题。
  • 感谢使用反引号后它的魅力,还告诉我有没有办法在 resordset 位置显示这个排序的 $result,记录集名称是“rsInternetSecurity”
  • @Enggboy 我不明白你的问题...请详细说明。
  • 这种排序给了我显示在表格中的结果,我希望结果是我用重复记录集格式化的 html div,记录集名称是“rsInternetSecurity”
  • 只需在while 循环中使用div,而不是输出表格行。
【解决方案2】:

尝试使用 mysql_fetch_assoc(),而不是 mysql_fetch_array()。

如果失败尝试打印 $result 如果它包含任何值,然后尝试使用 mysql_num_rows 来确定您的查询是否正确执行。

尽管我的大脑不是编译器,但我可以看到您的代码中的所有内容都是正确的,因此最好正确地捕获错误。 :)

【讨论】:

  • mysql_fetch_assoc(), mysql_fetch_array() 都适合我,最适合存储大量数据。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2016-02-03
  • 1970-01-01
  • 2019-11-23
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode