目前,我在HTML端代码如下所示:在数据库中发布信息的更好方法?
<form action="newstory.php" method="post">
<input type="hidden" name="author" value="<?php echo $loggedInUser->display_username; ?>"
/>
<input type="hidden" name="userid" value="<?php echo $loggedInUser->user_id ?>" />
Story Title: <input type="text" name="story_name" /><br>
Story: <textarea rows="10" cols="30" name="story" /></textarea><br>
<input type="submit" />
</form>
这里的PHP端:
include("dbconnect.php");
mysql_select_db("scratch", $con);
$author = mysql_real_escape_string($_POST['author']);
$author_id = mysql_real_escape_string($_POST['userid']);
$story_name = mysql_real_escape_string($_POST['story_name']);
$story = mysql_real_escape_string($_POST['story']);
$sql= "
INSERT INTO stories (author, author_id, story_name, story)
VALUES ('$author', '$author_id','$story_name', '$story')
";
if (!mysql_query($sql,$con))
{
die('Error: ' . mysql_error());
}
echo "Story Submitted! Redirecting to Homepage...";
//User is shown this for about 3 seconds
header('Refresh: 3; URL=index.php');
mysql_close($con)
我想摆脱的
<input type="hidden" name="author" value="<?php echo $loggedInUser->display_username; ?
>"/>
这样人们就可以轻松编辑和发布任何用户,但我不确定一个好方法。用户标识也一样。
帮助表示赞赏!
如果用户已登录,请使用会话存储其ID并将其插入数据库。 – 2012-02-11 20:24:35
查找PDO,而不要在你使用mysql_ *函数时使用它。 – 2012-02-11 20:37:47
不要以形式发送userdata ..使用'$ _SESSION'数据进行身份验证 – Richard 2012-02-11 20:42:40