PHP 动态表格选择与数据持久化教程-html教程-PHP中文网

PHP 动态表格选择与数据持久化教程

本教程详细阐述了如何在 PHP 应用中实现动态数据库表格的选择、显示与数据提交。核心内容包括通过会话管理（$_SESSION）持久化用户选择的表格状态，确保在表单提交后表格依然保持显示，并指导如何安全地将数据插入到动态选定的表格中，避免状态丢失和 SQL 注入等常见问题。

1. 理解问题核心：状态丢失与数据提交失败

在开发动态 web 应用时，用户选择和数据提交是常见交互。本案例中，用户期望通过下拉菜单选择一个数据库表进行显示，并在该表对应的表单中提交数据。然而，实际操作中出现了两个主要问题：

表格选择状态丢失： 当用户在数据提交表单中点击“提交”后，之前选择的表格不再显示，下拉菜单也恢复到默认状态。
数据提交失败： 提交的数据未能成功添加到选定的数据库表中。

这两个问题根源在于 PHP 会话管理的不当以及表单处理逻辑的缺陷。

1.1 body.php 中的会话管理缺陷

原始的 body.php 代码片段如下：

// ...
session_start();
include 'get.php'; 
$_SESSION["dbselect"] = filter_input(INPUT_POST, 'dbselect', FILTER_SANITIZE_STRING);                               
if ($_SESSION["dbselect"] == "messages") {
    dbMessages("*");
    include 'Forms/contact_form.php';
}
if ($_SESSION["dbselect"] == "messages2") {
    dbMessages2("*");
}
// ...

登录后复制

问题在于 $_SESSION["dbselect"] = filter_input(INPUT_POST, 'dbselect', FILTER_SANITIZE_STRING); 这一行。它在每次页面加载时都会无条件执行。当用户提交 数据输入表单 时，$_POST['dbselect'] 将不存在，导致 filter_input 返回 NULL 或空字符串，从而覆盖了之前存储在 $_SESSION["dbselect"] 中的正确表格选择。结果就是，页面刷新后 $_SESSION["dbselect"] 失去其值，表格不再显示。

此外，FILTER_SANITIZE_STRING 过滤器在 PHP 8.1.0 版本中已被弃用，不应再使用。

立即学习“PHP免费学习笔记（深入）”；

1.2 contact_form.php 的表单行为与硬编码

原始的 contact_form.php 代码片段如下：

// ...
<form name="frmContact" method="post" action="index.php?send=1" target="_self">
// ...
    $query = "insert into messages(ID, name, email, phone, message) values (NULL, 
                '$txtName', '$txtEmail', '$txtPhone', '$txtMessage')";
// ...

登录后复制

这里存在两个问题：

表单 action 属性： action="index.php?send=1" 意味着数据提交表单会将数据发送到 index.php，而不是当前处理 body.php 的页面。这使得 body.php 无法直接处理数据提交，也无法在提交后保持表格显示状态。理想情况下，表单应该提交回当前页面，以便 body.php 能够重新渲染并保持状态。
硬编码表名： 插入数据的 SQL 查询 insert into messages(...) 硬编码了 messages 表。这意味着即使 body.php 成功选择了 messages2 表，contact_form.php 仍然会尝试向 messages 表插入数据。它需要能够动态地根据用户选择的表进行插入。
SQL 注入风险： 直接将 $_POST 数据拼接到 SQL 查询字符串中，存在严重的安全漏洞，容易遭受 SQL 注入攻击。

2. 解决方案：优化会话管理与动态表操作

为了解决上述问题，我们需要对 body.php 和 contact_form.php 进行关键性修改。

MagicStudio

图片处理必备效率神器！为你的图片提供神奇魔法

102

查看详情

2.1 确保会话状态持久化 (body.php 改进)

核心思想是只有当用户明确通过下拉菜单提交了表格选择时，才更新 $_SESSION["dbselect"]。

<?php
session_start(); // 确保在任何输出之前调用

include 'get.php'; // 包含显示表格的函数

// 仅当 'dbselect' 表单字段被提交时，才更新会话变量
if (isset($_POST["dbselect"])) {
    // 直接使用 $_POST，因为我们期望它来自下拉菜单，并且后续用于匹配，无需复杂过滤
    $_SESSION["dbselect"] = $_POST["dbselect"];
}

// 获取当前选定的表名，如果会话中没有，则默认为空
$selected_table = $_SESSION["dbselect"] ?? '';

?>
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Contact Form - PHP/MySQL Demo Code</title>
</head>
<style>
table, th, td {
  border:1px solid black;
}
</style>
<body>

<form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>" method="post">
    <div>
        <label for="dbselect">Select Table:</label><br>
        <select name="dbselect" id="dbselect">
            <option value=""><-- Choose Table --></option>
            <!-- 根据会话中的值设置选中状态 -->
            <option value="messages" <?php echo ($selected_table === 'messages') ? 'selected' : ''; ?>>messages</option>
            <option value="messages2" <?php echo ($selected_table === 'messages2') ? 'selected' : ''; ?>>messages2</option>
        </select>
    </div>
    <div>
        <button type="submit">Select</button>
    </div>   
</form>

<?php
// 根据会话中存储的表格名称显示相应的表格和表单
if ($selected_table === "messages") {
    dbMessages("*");
    include 'Forms/contact_form.php'; // 包含联系表单
} elseif ($selected_table === "messages2") {
    dbMessages2("*");
    // 如果 messages2 也有对应的表单，应在此处包含
}                    
?>
</body>
</html>

登录后复制

修改说明：

session_start(); 必须在任何 HTML 输出之前调用。
if (isset($_POST["dbselect"])) { ... } 确保 $_SESSION["dbselect"] 仅在表格选择表单提交时才被更新。
$selected_table = $_SESSION["dbselect"] ?? ''; 使用空合并运算符为 $selected_table 提供默认值，避免未定义索引错误。
在 <select> 标签中添加 <?php echo ($selected_table === 'messages') ? 'selected' : ''; ?> 逻辑，确保下拉菜单在页面刷新后依然显示用户上次选择的项。
dbselect 的值直接来自预定义的 <option> 标签，因此在赋值给 $_SESSION 时无需复杂的过滤。

2.2 实现动态数据插入 (contact_form.php 改进)

为了让 contact_form.php 能够动态地向选定的表插入数据，并确保数据提交后状态不丢失，我们需要进行以下调整：

获取动态表名： 从 $_SESSION["dbselect"] 中读取目标表名。
修正表单 action： 将表单提交目标指向 body.php 自身，以便 body.php 能够处理数据并重新渲染页面。
使用预处理语句： 这是防止 SQL 注入的关键措施。
数据清理和验证： 对用户输入进行适当的清理和验证。

<?php
// 确保在任何输出之前调用 session_start()，如果 body.php 已经调用，这里可以省略，但为了模块化，最好包含
if (session_status() == PHP_SESSION_NONE) {
    session_start();
}

include 'db.php'; // 包含数据库连接文件

// 从会话中获取当前选定的表名
$targetTable = $_SESSION["dbselect"] ?? '';

// 只有当目标表有效且为 'messages' 时，才允许处理表单提交
// 注意：原问题中提到 contact_form.php 仅用于 messages 表。
// 如果 messages2 也有表单，需要复制此文件并修改逻辑，或使此文件更通用。
if ($targetTable !== 'messages') {
    // 如果不是 messages 表，则不显示或不处理此表单
    // 或者可以抛出错误，或者直接返回
    echo "<p style='color:red;'>此表单仅适用于 'messages' 表。</p>";
    return; // 停止执行，不显示表单
}

if (isset($_POST["Submit"])) {
    // 检查所有必填字段是否都已提交且不为空
    if (!empty($_POST["txtName"]) && !empty($_POST["txtPhone"]) && !empty($_POST["txtEmail"]) && !empty($_POST["txtMessage"])) {

        // 使用 mysqli_real_escape_string (不推荐，但比直接拼接好，最佳是预处理)
        // 更好的方法是使用预处理语句，如下所示
        $txtName = htmlspecialchars($_POST['txtName']);
        $txtEmail = htmlspecialchars($_POST['txtEmail']);
        $txtPhone = htmlspecialchars($_POST['txtPhone']);
        $txtMessage = htmlspecialchars($_POST['txtMessage']);

        // 准备 SQL 插入语句 - 使用预处理语句防止 SQL 注入
        $stmt = mysqli_prepare($conn, "INSERT INTO " . $targetTable . "(name, email, phone, message) VALUES (?, ?, ?, ?)");

        if ($stmt) {
            // 绑定参数
            mysqli_stmt_bind_param($stmt, "ssss", $txtName, $txtEmail, $txtPhone, $txtMessage);

            // 执行语句
            if (mysqli_stmt_execute($stmt)) {
                echo "<p style='color:green;'>数据已成功添加到 " . htmlspecialchars($targetTable) . " 表。</p>";
            } else {
                echo "<p style='color:red;'>数据添加失败: " . mysqli_error($conn) . "</p>";
            }

            // 关闭语句
            mysqli_stmt_close($stmt);
        } else {
            echo "<p style='color:red;'>SQL 预处理失败: " . mysqli_error($conn) . "</p>";
        }
    } else {
        echo "<p style='color:orange;'>请填写所有必填字段。</p>";
    }

    // 清除 POST 数据，防止刷新重复提交
    // unset($_POST); // 不推荐直接 unset $_POST，因为可能影响其他逻辑
    // 更好的做法是重定向到当前页面，但这里我们只是刷新显示
    // 刷新页面以显示更新后的数据，并确保表格选择状态保持
    echo "<meta http-equiv='refresh' content='0;url=" . htmlspecialchars($_SERVER['PHP_SELF']) . "'>";
    exit; // 确保在重定向后停止执行
}

// 如果是 GET 请求或提交失败，显示表单
echo '
<fieldset>
<legend>Contact Form</legend>
<form name="frmContact" method="post" action="' . htmlspecialchars($_SERVER['PHP_SELF']) . '" target="_self">
<p>
<label for="Name">Name </label>
<input type="text" name="txtName" id="txtName" value="' . (isset($_POST['txtName']) ? htmlspecialchars($_POST['txtName']) : '') . '">
</p>
<p>
<label for="email">Email</label>
<input type="text" name="txtEmail" id="txtEmail" value="' . (isset($_POST['txtEmail']) ? htmlspecialchars($_POST['txtEmail']) : '') . '">
</p>
<p>
<label for="phone">Phone</label>
<input type="text" name="txtPhone" id="txtPhone" value="' . (isset($_POST['txtPhone']) ? htmlspecialchars($_POST['txtPhone']) : '') . '">
</p>
<p>
<label for="message">Message</label>
<textarea name="txtMessage" id="txtMessage">' . (isset($_POST['txtMessage']) ? htmlspecialchars($_POST['txtMessage']) : '') . '</textarea>
</p>
<p> </p>
<p>
<input type="submit" name="Submit" id="Submit" value="Submit">
</p>
</form>
</fieldset>
';

// 数据库连接在处理完请求后关闭
mysqli_close($conn);
?>

登录后复制

修改说明：

$targetTable = $_SESSION["dbselect"] ?? ''; 从会话中安全地获取目标表名。
添加了 $targetTable !== 'messages' 的检查，以符合原问题中“contact_form.php 文件仅用于第一个表，messages”的说明。
表单 action 已更改为 action="' . htmlspecialchars($_SERVER['PHP_SELF']) . '"，确保表单提交回当前页面 (body.php)。
关键： 使用 mysqli_prepare() 和 mysqli_stmt_bind_param() 实现预处理语句，有效防止 SQL 注入。
对用户输入数据使用 htmlspecialchars() 进行 HTML 转义，防止 XSS 攻击。
在成功提交后，使用 echo "<meta http-equiv='refresh' content='0;url=" . htmlspecialchars($_SERVER['PHP_SELF']) . "'>"; exit; 进行页面刷新并重定向，确保 $_POST 数据被清除，防止用户刷新页面导致重复提交，同时让 body.php 重新渲染以显示更新后的表格数据。
在表单字段中添加 value 属性，以便在提交失败时保留用户输入。

2.3 get.php 和 db.php

get.php 负责从数据库获取并显示数据，db.php 负责数据库连接。这两个文件在原始代码中似乎工作正常，但为了完整性，这里提供一个简化的 db.php 示例和 get.php 的关键部分。

db.php 示例:

<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";

// 创建连接
$conn = mysqli_connect($servername, $username, $password, $dbname);

// 检查连接
if (!$conn) {
    die("连接失败: " . mysqli_connect_error());
}
?>

登录后复制

get.php 关键部分:

<?php
function display_data($result) { // 接收 mysqli_result 对象
    if (!$result || mysqli_num_rows($result) === 0) {
        echo "<p>没有数据可显示。</p>";
        return;
    }

    $output = "<table border='1'>";
    $header_printed = false;

    while ($row = mysqli_fetch_assoc($result)) {
        if (!$header_printed) {
            $output .= '<tr>';
            foreach ($row as $col => $val) {
                $output .= "<th>" . htmlspecialchars($col) . '</th>';
            }
            $output .= '</tr>';
            $header_printed = true;
        }
        $output .= '<tr>';
        foreach ($row as $col => $val) {
            $output .= '<td>' . htmlspecialchars($val) . '</td>';
        }
        $output .= '</tr>';
    }
    $output .= '</table>';
    echo $output;
    mysqli_free_result($result); // 释放结果集
}

function dbMessages($selector) {
    include 'db.php'; // 确保每次函数调用都能获取到 $conn
    $query = "SELECT $selector FROM messages";
    $res = mysqli_query($conn, $query);
    if ($res) {
        display_data($res);
    } else {
        echo "<p style='color:red;'>查询 'messages' 表失败: " . mysqli_error($conn) . "</p>";
    }
    // mysqli_close($conn); // 不在此处关闭，因为可能其他函数还需要 $conn
}

function dbMessages2($selector) {
    include 'db.php

登录后复制

以上就是PHP 动态表格选择与数据持久化教程的详细内容，更多请关注php中文网其它相关文章！