通過每個「名稱」值的形式投入動態創建變量

Question

我是在製造一種形式，嗯......相當大，所有投入由形式看起來像

<input type="text" id="first_name" name="first_name" /> 

因此而不必做

$first_name = $_POST['first_name']; 

等對於每個輸入，有一個方法抓住每一個「名稱」或「ID」從每個輸入的<form></form>內並適用於「名稱」或「的相同值的可變ID'。

我在想像foreach聲明？

任何想法？

編輯：

鑑於這個代碼小片段在這裏，怎麼能使用到現在使用下面給出的例子嗎？

function filter($data) { 
    $data = trim(htmlentities(strip_tags($data))); 

    if (get_magic_quotes_gpc()) 
     $data = stripslashes($data); 

    $data = mysql_real_escape_string($data); 

    return $data; 
} 

foreach($_POST as $key => $value) { 
    $data[$key] = filter($value); 
    echo $value . '<br />'; 
} 

Answer 1

這樣一個變量賦值是非常糟糕的主意。惡意用戶可以用這種方式重寫程序中的任何變量。
千萬不要做這樣的事情。
對於foreach語句你是對的。但是不要用它來設置變量 - 只是用它來實現腳本目標。迭代$ _POST並將其值放入查詢或郵件正文或其他內容中。不需要全局範圍變量

如上所述，使用foreach來實現真正的自動化。
您可以使用此功能來產生SET SQL語句進行字段名的數組和$ _POST數組：

function dbSet($fields) { 
    $set=''; 
    foreach ($fields as $field) { 
    if (isset($_POST[$field])) { 
     $set.="`$field`='".mysql_real_escape_string($_POST[$field])."', "; 
    } 
    } 
    return substr($set, 0, -2); 
} 

$fields = explode(" ","name surname lastname address zip fax phone"); 
$query = "INSERT INTO $table SET ".dbSet($fields); 

Answer 2

這是使用extract或foreach一個壞主意，它將使你的代碼有人劫持的變量。

設想以下

$my_user_id = 10; 
extract($_POST); 
// Load the user for $my_user_id using MYSQL 
// Change some value of the user for $my_user_id 
// Update the database for user $my_user_id 

當用戶黑客您的形式和改變的my_user_id價值會發生什麼？

他們將能夠更改您希望他們更改的用戶以外的用戶的值。

您應該只知道您知道的$_POST的值，並且應該在那裏。不要抓住一切，並假設它是在那裏。