#php #mysql #ajax
#php #mysql #ajax
Вопрос:
Я создаю сайт, на котором пользователи могут просматривать номера своих счетов-фактур, используя номер заказа на покупку и номер детали.
Я настроил HTML-форму, которая передает строку запроса в файл PHP, который затем запрашивает сервер MySQL, но я получаю внутреннюю ошибку сервера. Форма работает правильно, она генерирует URL с прикрепленными строками запроса.
Вот мой код для генерации строки запроса:
<html>
<body>
<script language = "javascript" type = "text/javascript">
<!--
//Browser Support Code
function ajaxFunction(){
var ajaxRequest; // The variable that makes Ajax possible!
try {
// Opera 8.0 , Firefox, Safari
ajaxRequest = new XMLHttpRequest();
}catch (e) {
// Internet Explorer Browsers
try {
ajaxRequest = new ActiveXObject("Msxml2.XMLHTTP");
}catch (e) {
try{
ajaxRequest = new ActiveXObject("Microsoft.XMLHTTP");
}catch (e){
// Something went wrong
alert("Your browser broke!");
return false;
}
}
}
// Create a function that will receive data
// sent from the server and will update
// div section in the same page.
ajaxRequest.onreadystatechange = function(){
if(ajaxRequest.readyState == 4){
var ajaxDisplay = document.getElementById('ajaxDiv');
ajaxDisplay.innerHTML = ajaxRequest.responseText;
}
}
// Now get the value from user and pass it to
// server script.
var partnumber = document.getElementById('partnumber').value;
var ponumber = document.getElementById('ponumber').value;
var queryString = "?partnumber=" partnumber ;
queryString = "amp;ponumber=" ponumber;
ajaxRequest.open("GET", "ajax-example.php" queryString, true);
ajaxRequest.send();
}
//-->
</script>
<form name = 'myForm'>
Part Number: <input type = 'text' id = 'partnumber' /> <br />
PO Number: <input type = 'text' id = 'ponumber' />
<br />
<input type = 'button' onclick = 'ajaxFunction()' value = 'Find Invoice Number'/>
</form>
<div id = 'ajaxDiv'>Your result will display here</div>
</body>
</html>
И это ajax-example.php файл
//Connect to MySQL Server
mysql_connect($dbhost, $dbuser, $dbpass);
//Select Database
mysql_select_db($dbname) or die(mysql_error());
// Retrieve data from Query String
$partnumber = $_GET['partnumber'];
$ponumber = $_GET['ponumber'];
// Escape User Input to help prevent SQL Injection
$partnumber = mysql_real_escape_string($partnumber);
$ponumber = mysql_real_escape_string($ponumber);
//build query
$query = "SELECT * FROM data WHERE partnumber = '$partnumber' and `po#` = '$ponumber'";
//Execute query
$qry_result = mysql_query($query) or die(mysql_error());
//Build Result String
$display_string = "<table>";
$display_string .= "<tr>";
$display_string .= "<th>Part Number</th>";
$display_string .= "<th>PO Number</th>";
$display_string .= "<th>Invoice Number</th>";
$display_string .= "</tr>";
// Insert a new row in the table for each person returned
while($row = mysql_fetch_array($qry_result)) {
$display_string .= "<tr>";
$display_string .= "<td>$row[partnumber]</td>";
$display_string .= "<td>$row[po#]</td>";
$display_string .= "<td>$row[invoicenumber]</td>";
$display_string .= "</tr>";
}
echo "Query: " . $query . "<br />";
$display_string .= "</table>";
echo $display_string;
?>
Комментарии:
1.
error_reporting(E_ALL); ini_set('display_errors', '1');Кроме того, ПРЕКРАТИТЕ использоватьmysql_функции.2.ПРЕДУПРЕЖДЕНИЕ: Не используйте устаревший
mysql_queryинтерфейс, который был удален в PHP 7. Такую замену, как PDO, нетрудно освоить, а такое руководство, как PHP The Right Way, помогает объяснить лучшие практики. Здесь параметры НЕ экранируются должным образом, и в этом коде есть серьезные ошибки SQL-инъекций. Экранируйте все пользовательские данные, особенно из$_POSTили$_GET.