的按鈕信息更簡單的方法提交（安全）

Question

當使用一個按鈕來提交該準備的資料，但要添加一個類似標題的按鈕，這樣的「價值」與格式如：

<form action="" method="POST"> 
<input type="submit" name="Man" value="Man"> 
</form> 

在PHP代碼：

if (isset($_POST['Man'])) { 

    // Check connection 
    if ($conn->connect_error) { 
     die("Connection failed: " . $conn->connect_error); 
    } 

    $sql = " 
    UPDATE users 
    SET gender = ? 
    WHERE username = ? 
"; 

$stmt = $mysqli->prepare($sql); 
$stmt->bind_param('ss', $_POST['Man'], $_SESSION['username']); 
$ok = $stmt->execute(); 

    if ($ok == TRUE) { 
     echo "<font color='#00CC00'>Your gender has been updated.</font><p>"; 
    } else { 
     echo "Error: " .$stmt->error; 
    } 
} 

這是代碼，這也讓不少人使用（預處理語句正常容易代碼），但有一個錯誤的......如果有人改變值人例如。 大聲笑，數據庫中的性別將被設置爲「哈哈」，因爲它的值是「哈哈」... 我在這麼多的網站和代碼中注意到了這個問題，所以解決這個問題的方法是，定義$ _ POST ...查看答案

Answer 1

一件簡單的事情做的是預先定義的$ _ POST因此該值將永遠不會改變...... 用簡單的一行代碼：

$_POST['Man'] = Man; 

通過將此代碼添加到您的代碼中，該值不能用html更改，所以 結果將仍然是「人」，而且您很好。

Answer 2

你需要加入白名單中的數組

if (isset($_POST['Man'])) { 

$allowed_values=array("Man","Women"); 

if(!in_array($_POST['Man'],$allowed_values)){ 
echo"error message"; 
die(); 
} 

    // Check connection 
    if ($conn->connect_error) { 
     die("Connection failed: " . $conn->connect_error); 
    } 

    $sql = " 
    UPDATE users 
    SET gender = ? 
    WHERE username = ? 
"; 

$stmt = $mysqli->prepare($sql); 
$stmt->bind_param('ss', $_POST['Man'], $_SESSION['username']); 
$ok = $stmt->execute(); 

    if ($ok == TRUE) { 
     echo "<font color='#00CC00'>Your gender has been updated.</font><p>"; 
    } else { 
     echo "Error: " .$stmt->error; 
    } 
}