Форма вставки PHP/MySQL

Question

Как только вы входите на веб-страницу, она входит в таблицу SQL, даже если вы не отправляете ее сразу же после ввода веб-страницы, она отправляет пробел в таблицу SQL, вот коды как HTML-форму, так и форму PHP.

<form name="" method="POST" action=""> 
<input class="" type="text" name="a1" id="a1" class="placeholder" placeholder="Enter the FRATERNITY Name"> 
<input class="" type="text" name="a2" id="a2" class="placeholder" placeholder="Enter YOUR Name"> 
<style> 

<?php 

$host=""; 
$username=""; 
$password=""; 
$database_name=""; 
$table_name=""; 

mysql_connect("$host", "$username", "$password")or die("cannot connect"); 
mysql_select_db("$database_name")or die("cannot select DB"); 

$a1=$_POST['a1']; 
$a2=$_POST['a2']; 

$sql="INSERT INTO $table_name(groupname, founder)VALUES('$a1', '$a2')"; 
$result=mysql_query($sql); 

if($result){ 
echo "Group $a1 Has Been Created"; 

} 

else { 
echo "ERROR"; 
} 
?> 

<?php 
// close connection 
mysql_close(); 
?> 

Answer 1

Необходимо проверить это, если это запрос на отправку, а затем выполнить только код. См. Ниже:

if($_SERVER['REQUEST_METHOD'] == "POST"){ 
    $host=""; 
    $username=""; 
    $password=""; 
    $database_name=""; 
    $table_name=""; 

    mysql_connect("$host", "$username", "$password")or die("cannot connect"); 
    mysql_select_db("$database_name")or die("cannot select DB"); 

    $a1=mysql_real_escape_string($_POST['a1']); 
    $a2=mysql_real_escape_string($_POST['a2']); 

    $sql="INSERT INTO $table_name(groupname, founder)VALUES('$a1', '$a2')"; 
    $result=mysql_query($sql); 

    if($result){ 
    echo "Group $a1 Has Been Created"; 

    } 

    else { 
    echo "ERROR"; 
    } 
    ?> 

    <?php 
    // close connection 
    mysql_close(); 
} 

Обратите внимание, что ваш код в его нынешнем виде уязвим для атаки SQL-инъекций. Я не использовал две строки ввода для защиты от этого.