Создать учетную запись, используя PHP для MySQL

Question

Я не очень люблю PHP/MySQL, так извините мое невежество. У меня есть форма входа в систему на моем веб-сайте, я создал форму для создания учетной записи, наглядно все в порядке, однако мне нужны данные, которые нужно отправить в мою таблицу учетных записей клиентов в mysql. Когда я отправляю форму, она работает, создавая ID 1, но все остальные поля пусты.

PHP:

<?php 

$hostname="localhost"; 
$username="createaccount"; 
$password="******"; 
$dbname="Island_Web_Design"; 
$usertable="customer_accounts"; 
$connection = mysql_connect($hostname, $username, $password); 
mysql_select_db($dbname, $connection); 

$sql="INSERT INTO customer_accounts (firstname, lastname, email, password) 
VALUES 
('$_POST[firstname]','$_POST[lastname]','$_POST[email]','$_POST[password]')"; 


if (!mysql_query($sql,$connection)) 
    { 
    die('Error: ' . mysql_error()); 
    } 
echo "1 record added"; 

mysql_close($con); 

>

HTML:

<form role="form" action="Create_Account.php"> 
          <div class="row"> 
           <div class="col-xs-6 col-sm-6 col-md-6"> 
            <div class="form-group"> 
             <input type="text" name="firstname" id="firstname" class="form-control input-sm floatlabel createinput" placeholder="First Name"> 
            </div> 
           </div> 
           <div class="col-xs-6 col-sm-6 col-md-6"> 
            <div class="form-group"> 
             <input type="text" name="lastname" id="last_name" class="form-control input-sm createinput" placeholder="Last Name"> 
            </div> 
           </div> 
          </div> 
          <div class="form-group"> 
           <input type="email" name="email" id="email" class="form-control input-sm createinput" placeholder="Email Address"> 
          </div> 
          <div class="row"> 
           <div class="col-xs-6 col-sm-6 col-md-6"> 
            <div class="form-group"> 
             <input type="password" name="password" id="password" class="form-control input-sm createinput" placeholder="Password"> 
            </div> 
           </div> 
           <div class="col-xs-6 col-sm-6 col-md-6"> 
            <div class="form-group"> 
             <input type="password" name="password_confirmation" id="password_confirmation" class="form-control input-sm createinput" placeholder="Confirm Password"> 
            </div> 
           </div> 
          </div> 
          <input type="submit" name="submit" value="Create Account" class="btn btn-primary btn-block register"> 
         </form> 

Спасибо заранее.

Answer 1

Для начала вы должны прекратить использовать mysql_* функции для нового кода. Он удаляется с языка в последней версии (7). Вместо этого обновите до mysqli или PDO:

Why shouldn't I use mysql_* functions in PHP?.

Во-вторых, вы должны предотвратить отверстия для инъекций SQL вы имеете в своем коде:

How can I prevent SQL-injection in PHP?

В-третьих, вы должны хэш пароля, чтобы предотвратить их утечку, если у вас есть, например, брешь в безопасности в вашем приложении.

password_hash()

Наконец, чтобы получить на свой вопрос: если вы не говорите вашей формы POST это сделает GET запрос вместо. Измените форму на <form role="form" action="Create_Account.php" method="post">.

Вы можете и должны самостоятельно отлаживать свой код для таких проблем. Простейшей формой было бы использовать var_dump(); на ваших переменных, чтобы увидеть, содержат ли они то, что, по их мнению, они содержат. И вы также можете проверить запросы, открывая инструменты разработчика вашего любимого браузера.

Ваш код может/должен быть переписано в виде: [. Ваш скрипт находится в опасности для SQL Injection атак]

<?php 

$dbConnection = new PDO('mysql:dbname=Island_Web_Design;host=localhost;charset=utf8', 'createaccount', '******'); 

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 

$stmt = $dbConnection->prepare('INSERT INTO customer_accounts (firstname, lastname, email, password) VALUES (:firstname, :lastname, :email, :password'); 

try { 
    $stmt->execute([ 
     'firstname'=> $_POST[firstname], 
     'lastname' => $_POST[lastname], 
     'email' => $_POST[email], 
     'password' => password_hash($_POST[password], PASSWORD_DEFAULT, ['cost' => 14]), 
    ]); 
} catch(\PDOException $e) { 
    die('Error: ' . $e->getMessage()); 
} 

echo "1 record added"; 

Answer 2

Пожалуйста, никогда не сделать это:

('$_POST[firstname]','$_POST[lastname]','$_POST[email]','$_POST[password]') 

прочитать: Is SQL Injection possible with POST?

метод Fix добавить = "пост" в виде индуктора, благодаря @jay