php
  • sql
    • 2016-08-17 2 views -1 likes 
    -1 
    <?php 

include('db/dbcon.php'); 

$get_id=$_GET['id']; 

$deal_price = mysqli_real_escape_string($sqli, $_POST['deal_price']); 
mysqli_query($sqli, "UPDATE product_detail 
        SET deal_price = '$deal_price' 
        WHERE id = '$get_id' ") 
       or die(mysqli_error()); 
echo "<script>alert('Successfully Updated'); window.location='sales_rep?status=1.php'</script>"; 

?>

    출처

    2016-08-17 edrees

    +2

    $sqli을 통과 먼저

    이 존재 여부를 사용하고있는 변수)를 확인해야합니다. 약간의 ['isset'] (http://php.net/manual/en/function.isset.php) 또는 ['ctype_digit'] (http://php.net/manual/en/function.ctype-digit .php) 너무 많은 피해를주지 않습니다. – Script47

    +0

    이 코드에서 SQL injection을 사용하면 문제를 해결할 수 있습니다. – Hooli

    +0

    @ Fred-ii-가 말한 것처럼 양식도 함께 표시하십시오. – Script47

    답변

    0

    1) 당신은 또한 적어도 * 일부 * 유효성 검사를 수행하십시오 mysqli_error();

    <?php 

include('db/dbcon.php'); 
if (isset($_GET['id']) && !empty($_GET['id'])) { 
    $get_id = $_GET['id']; 
    $deal_price = mysqli_real_escape_string($sqli, $_POST['deal_price']); 
    mysqli_query($sqli, "UPDATE product_detail SET deal_price = '$deal_price' WHERE id = '$get_id' ")or die(mysqli_error($sqli)); 
    echo "<script>alert('Successfully Updated'); window.location='sales_rep?status=1.php'</script>"; 
} else { 
    echo "no id"; 
} 
?>

    출처

    2016-08-17 11:26:52 user1234

    관련 문제
    최근 질문

     관련 문제