注释ID在插入数据库之前更改

时间:2012-08-26 12:08:24

标签: php html

我有一个用户用来评论帖子的表单。现在这个表单的隐藏输入是正确的,它得到正确的'streamidcontent'但是当我通过ajax发送它并进入数据库时​​,它总是更改为最后创建的状态ID'4076'并将其添加到最顶层的帖子饲料。 所以我想知道,我做错了什么。

streamdata_comments

1 comment_id int(11)否无AUTO_INCREMENT
2 comment_poster int(11)否无
3 comment_streamitem int(11)否无
4 comment_datetime datetime否无

FORM 

<form id="mycommentform" method="POST"  class="form_statusinput">
<input type="hidden"  name="streamidcontent" id="streamidcontent" value="'.$streamitem_data['streamitem_id'].'">
<input type="input" name"content" id="content" placeholder="Say something" autocomplete="off">
<input type="submit" id="button" value="Feed">
</form>

COMMENT_ADD.PHP 

<?php
session_start();
require"include/load.php";
error_reporting(E_ERROR | E_WARNING | E_PARSE | E_NOTICE);

if(isset($_POST['streamidcontent'])&isset($_POST['content'])){

        $content =  htmlspecialchars($_POST['content']);
        $streamid = htmlspecialchars($_POST['streamidcontent']);
            $content = preg_replace('/(?<!S)((http(s?):\/\/)|(www.))+([\w.1-9\&=#?\-~%;\/]+)/','<a href="http$3://$4$5">http$3://$4$5</a>', $content);

            $insert = "INSERT INTO streamdata_comments(comment_poster, comment_streamitem, comment_datetime, comment_content) VALUES (".$_SESSION['id'].",'$streamid',UTC_TIMESTAMP(),'$content')";


            $add_post = mysqli_query($mysqli,$insert) or die(mysqli_error($mysqli));
            }

AJAX 

<script>
$(document).ready(function(){
$("form#mycommentform").submit(function(event) {
event.preventDefault();
var streamidcontent = $("#streamidcontent").val();
var content = $(this).children('#content').val();

$.ajax({
type: "POST",
url: "comment_add.php",
cache: false,
dataType: "json",
data: { streamidcontent: streamidcontent, content: content}, 
success: function(html){  
$("#containerid").html("<div class='stream_comment_holder' id='comment_holder_"+html['comment_streamitem']+"'><div id='comment_list_"+html['comment_streamitem']+"'><div class='stream_comment' id='comment_"+html['comment_id']+"'>div class='stream_comment_holder' id= style='display:;'><div class='stream_comment'><table width='100%'><tbody><tr><td valign='top' width='30px'><img class='stream_profileimage' style='border:none;padding:0px;display:inline;' border=\"0\" src=\"imgs/cropped"+html['id']+".jpg\" onerror='this.src=\"img/no_profile_img.jpeg\"' width=\"40\" height=\"40\" ></td><td valign='top' align='left'><a href='profile.php?username="+html['username']+"'>"+html['first']+" </a>"+html['comment_content']+"</td></tr></tbody></table></div></div></div></div>");
}
});
return false
});
});
</script>

和我的老AJAX插入精细。但我需要添加我的喜欢,不喜欢和删除按钮。所以把它改成了上面没有正常工作的AJAX。

function addcomment(streamid,content,containerid,posterid,postername,postid){
var obj = document.getElementById(containerid);
$.post("../comment_add.php", { streamid: streamid,content:content} );
obj.innerHTML = obj.innerHTML + "<div class='stream_comment'><table width='100%'><tbody><tr><td valign='top' width='30px'><img style='border:none;padding:0px;height:30px;width:30px;border-radius:0px;' src='imgs/cropped"+posterid+".jpg' onerror='this.src=&quot;img/no_profile_img.jpeg&quot;;'></td><td valign='top' align='left'><a href='profile.php?username="+posterid+"'>"+postername+" </a>"+content+"</td></tr></tbody></table></div>";
}

2 个答案:

答案 0 :(得分:2)

您的代码中发生了一些奇怪的事情:

$content =  $_POST['content'];
$content =  strip_tags($_POST['content']);

您使用不同的值填充$content变量两次。同样适用于id:

$streamid = $_POST['streamidcontent'];
$streamid = strip_tags($_POST['streamidcontent']);

我严重怀疑在插入数据库之前你应该使用strip_tags。显示时只需使用htmlspecialchars()即可。或者在显示时使用htmlpurifier。 您的申请中也有SQL Injection vulnerability。请在此处详细了解如何防止此问题:How can I prevent SQL injection in PHP?

使用您共享的代码,新记录将被分配一个新ID。你是怎么检查你每次都得到相同的id?。

最后,您可以通过执行以下操作获取mysqli中的最后一个插入ID:

echo $mysqli->insert_id;

query()之后。

您是否还检查了呈现的HTML以查看ID的位置?

答案 1 :(得分:2)

您是否认为错误可能实际上是您的Feed,而不是实际的插入?或者它可能是AJAX?

要验证插件是否正常,请尝试:

echo $streamid;  // Shows you're getting the right value from AJAX.

$add_post = mysqli_query($mysqli,$insert) or die(mysqli_error($mysqli));
if($add_post) {
    $NewID = mysqli_insert_id(mysqli);
    $query = 'SELECT * FROM streamdata_comments WHERE comment_id=' . $NewID;  
    if ($result = mysqli_query($mysqli, $query)) {
        while ($row = $result->fetch_object()){
            var_dump($row);   // Check the actual input is as you expected.
        }
        mysqli_free_result($result);
    }
}

如果使用AJAX,您需要通过其中一个网络工具监控结果(在Chrome,NET面板中按F12;或使用Fiddler表示Win或Charles表示Mac)

相关问题
最新问题