公司名称登记表

Question

<p>仅供参考，编码新手，自学，放轻松......</p> <p>我有一个注册表单，用于创建新的 SQL 表。他们输入的公司名称将成为每次登录时新建表的表名。</p> <p>除了表名变量存在漏洞之外，一切都运行良好。</p> <p>我正在使用 PHP 和 MySQL。</p> <p>如果公司名称在 2 个单词之间有空格，我最初会遇到问题，但我使用 str_replace 修复了该问题</p> <p>我进行了很多测试，发现如果我将公司名称放入“out”中，就会破坏代码。</p> <p>我收到此错误消息：</p> <p>“致命错误：未捕获 mysqli_sql_exception：您的 SQL 语法有错误；请检查与您的 MySQL 服务器版本相对应的手册，了解在 'out 附近使用的正确语法（ id INT UNSIGNED AUTO_INCRMENT PRIMARY KEY, first_name VARCHAR(128 ) NOT ' 在 C:\Users\reece.grover\OneDrive\XML Website\opregister.php:73 中的第 1 行处 堆栈跟踪: #0 C:\Users\reece.grover\OneDrive\XML Website\opregister.php(73 ): mysqli->query('CREATE TABLE ou...') #1 {main} 在第 73 行的 C:\Users\reece.grover\OneDrive\XML Website\opregister.php 中抛出”</p> <p>这似乎不仅会导致错误，还会导致 SQL 注入。</p> <p>我学会了如何bind_param，但这仍然阻止了 CREATE TABLE 函数的潜在代码破坏。</p> <p>这是我的服务器端 PHP 代码，该表单只是一个带有 Bootstrap 的简单 HTML 表单。</p>

//去掉空格
    $company = str_replace(' ', '', $_POST[“公司”]);
    //哈希密码
    $password_hash =password_hash($_POST[“密码”], PASSWORD_DEFAULT);
    
    // 创建新的运算符
    $mysql = 需要 __DIR__ 。 “/database.php”；
    
    $sql =“INSERT INTO 运算符（名字、姓氏、电子邮件、密码哈希、公司） 
            值（？，？，？，？，？）”；
    
    $stmt = $mysql->stmt_init();
    
    
    if ( ! $stmt -> 准备($sql)){
        die("SQL 错误：" . $mysql->error);
    }
    
    $stmt->bind_param(“sssss”,
                        $_POST[“名字”],
                        $_POST[“姓氏”],
                        $_POST[“电子邮件”],
                        $密码哈希值，
                        $公司）；
                         
    if (!$stmt->execute()) {
        die($mysqli->error . " " . $mysqli->errno);
    }
    
    
    
    //创建新的公司表
    
    $sql = "创建表$company (
    id INT 无符号自动递增主键，
    名字 VARCHAR(128) NOT NULL,
    姓氏 VARCHAR(128) NOT NULL,
    电子邮件 VARCHAR(255) NOT NULL UNIQUE,
    公司 VARCHAR(128),
    贷方 VARCHAR(60),
    电话 VARCHAR(60))";
    
    if (!$mysql->query($sql)) {
        die(“创建表失败：”。$mysql->error);
    }
    
    $sql =“插入$company（名字，姓氏，电子邮件，公司，信用，电话） 
            值（？，？，？，？，？，？）”；
    
    $stmt = $mysql->stmt_init();
    
    
    
    if ( ! $stmt -> 准备($sql)){
    die("SQL 错误：" . $mysql->error);
    }
    
    $stmt->bind_param(“ssssss”,
                        $_POST[“名字”],
                        $_POST[“姓氏”],
                        $_POST[“电子邮件”],
                        $公司，
                        $_POST[“信用”],
                        $_POST[“电话”]);
                         
    if ($stmt->execute()) {
    
        header(“位置：signup_success.php”);
        退出；</pre></p>            

Answer 1

您应该有一个预定义的公司表，而不是单独的 company_name 表。您也不应该根据用户输入创建表。

预先创建公司表：

CREATE TABLE companies (
  id INT PRIMARY KEY AUTO_INCREMENT,
  company_name VARCHAR(255),
  email VARCHAR(255),
  phone VARCHAR(20)
);

然后您可以将数据INSERT到此表中：

$stmt = $conn->prepare("INSERT INTO companies (company_name, email, phone) VALUES (?, ?, ?)");
//Example company data
$companyName = "Example Company";
$email = "info@example.com";
$phone = "123-456-7890";
$stmt->bind_param("sss", $companyName, $email, $phone);
$stmt->execute();

每个公司都插入到此表中。它们通过 id 列进行区分。

您还可以在operators 表上添加外键约束。

ALTER TABLE operators
ADD COLUMN company_id INT,
ADD CONSTRAINT key_constraint_company_id FOREIGN KEY (company_id) REFERENCES company(id);

如果您希望在删除操作员时删除公司数据，您可以执行DELETE CASCADE：

ALTER TABLE operators
ADD COLUMN company_id INT,
ADD CONSTRAINT key_constraint_company_id FOREIGN KEY (company_id) REFERENCES company(id) ON DELETE CASCADE;