<h2>Search</h2>
<form name="search" method="post" action="<?php $_SERVER['PHP_SELF']; ?>">
Seach for: <input type="text" name="find" /> in
<Select NAME="field">
<Option VALUE="fname">First Name</option>
<Option VALUE="lname">Last Name</option>
<Option VALUE="info">Profile</option>
</Select>
<input type="hidden" name="searching" value="yes" />
<input type="submit" name="search" value="Search" />
</form>
<?php
//This is only displayed if they have submitted the form
if ($_REQUEST[searching] =="yes")
{
echo "<h2>Results</h2><p>";
//If they did not enter a search term we give them an error
if ($_REQUEST[find] == "")
{
echo "<p>You forgot to enter a search term";
exit;
}
// Otherwise we connect to our Database
mysql_connect("localhost", "admin", "password") or die(mysql_error());
mysql_select_db("oop") or die(mysql_error());
// We preform a bit of filtering
$find = strtoupper($_REQUEST[find]);
$find = strip_tags($find);
$find = trim ($find);
//Now we search for our search term, in the field the user specified
$data = mysql_query("SELECT * FROM users WHERE upper($_REQUEST[field]) LIKE'%$find%'");
//And we display the results
while($result = mysql_fetch_array($data))
{
echo $result['fname'];
echo " ";
echo $result['lname'];
echo "<br>";
echo $result['info'];
echo "<br>";
echo "<br>";
}
//This counts the number or results - and if there wasn't any it gives them a little message explaining that
$anymatches=mysql_num_rows($data);
if ($anymatches == 0)
{
echo "Sorry, but we can not find an entry to match your query<br><br>";
}
//And we remind them what they searched for
echo "<b>Searched For:</b> " .$find;
}
?>
Вопрос:получил сообщение об ошибке при использовании функции поиска из
Передний конец показывает:
Примечание: Использование неопределенного постоянного поиска - предполагается, 'поиск' в D: \ WAMP \ WWW \ oop \ test2.php в строке 15
Я знаю что-то не так, отправляя значения формы, такие как «поиск» ... но теперь я знаю, как исправить/изменить. так кто-нибудь может помочь мне исправить это?
Спасибо.
Вы, вероятно, только учусь, но вот хороший совет для вашего кода и как он может подвержен [MySQL инъекции] (HTTP: // stackoverflow.com/questions/8340915/php-mysql-injection-example) –
Если вы выполняете POST, получите данные из '$ _POST', а не' $ _REQUEST'. –
Кроме того, избегайте данных правильно; вы также должны использовать подготовленные заявления, но это разрешит только половину проблем. –