akynyemi Ответов: 2

( ! ) Обратите внимание: неопределенный индекс: product_name in C:\wamp64\www\bosmak_properties\includes\purchases_form_submit.php на линии 11

<?php

$servername = "localhost";
$username = "root";
$password = "";
$dbname = "dbname";


$conn = mysqli_connect($servername, $username, $password, $dbname);

$product_name = $_POST['product_name'];
$category_name = $_POST['category_name'];
$date = $_POST['date'];
$quantity = $_POST['quantity'];
$unit_price = $_POST['unit_price'];
$vendor_name = $_POST['vendor_name'];

$sql = "INSERT INTO purchases (product_name,category_name,date,quantity,unit_price,vendor_name) VALUES 
('$product_name','$category_name','$date','$quantity','$unit_price','$vendor_name');";
mysqli_query($conn,$sql);

header("location: ../purchases.php?submit=success");

?>


Что я уже пробовал:

Когда я нажимаю кнопку Отправить она показывает ошибку выше от строк 11 до строки 16 а затем 22

2 Ответов

Рейтинг:
0

Patrice T

Цитата:
Когда я нажимаю кнопку Отправить она показывает ошибку выше от строк 11 до строки 16 а затем 22

К сожалению, мы не можем сделать для вас много, потому что проблема не в этом коде.
Проблема становится видимой только в этом коде.
Этот код обрабатывает данные из формы ввода, он ожидает данные в $_POST, используя индексы spùe, названные в честь полей ввода, проблема в том, что эти индексы не существуют.
Единственное, что нужно сделать, это либо проверить содержимое $_POST с помощью отладчика, либо распечатать его содержимое с помощью пар ключ/значения. И проверьте код входной формы.
$sql = "INSERT INTO purchases (product_name,category_name,date,quantity,unit_price,vendor_name) VALUES 
('$product_name','$category_name','$date','$quantity','$unit_price','$vendor_name');";

Не решение вашего вопроса, а еще одна проблема, которая у вас есть.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]

Рейтинг:
0

OriginalGriff

Проверьте свой HTML-код: есть вероятность, что вы неправильно написали свои индексы или у вас нет соответствующих элементов управления на Вашей странице. Это объясняет его с помощью простого примера кода: PHP $_POST[^]

И как сказал Патрис Т: никогда не объединяйте строки для построения SQL-команды. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?