Formularz z przekazanej tablicy. Opcje

[qubec26]

Witam,
mam taki kod:

[PHP] pobierz, plaintext 
<?php
ob_start();
session_start();
require ('sess.php');
include ('start.html');
include ('connect.php');
include ('query.php');
// echo "Dane: ";
// print_r($_POST);
// $count=count($_POST[data]);
// echo "Licznik:".$count;
// for($i=0;$i<$count;$i++){
// if($_POST[data][$i]<>''){
// echo "<br>Wartość :".$_POST[data][$i];
// }
// }
$w=0;
$temp=0;
 
$result111 = mssql_query($query15);
while($p = mssql_fetch_assoc($result111)) { 
$ida = $p['ID'];
if($ida == $_POST[data][$w]){
$w++;
	if($temp<>0){
		if($temp<>$p['NR_DET']){
		echo "You can select only items for one part number to be shiped together!";
		echo '<br><INPUT TYPE="button" VALUE="Back" onClick="history.go(-1);return true;">';
		include ('footer.html');
		exit;
		}
	}
$temp=$p['NR_DET'];
}
}
$result15 = mssql_query($query15);
echo "<strong>".$_SESSION['nazwa1']." - ".$_SESSION['comname']."</strong>"; 
$t=0;
echo "<table cellpadding=\"2\"  border=1>"; 
echo "<caption align='ustawienie'><font color='red'></caption>";
echo "<form name='form1' method='post' action=''>";
 
echo "<th><strong>ID</strong></th>";
		echo "<th><strong>Part number</strong></th>";
		echo "<th><strong>Delivery Qty</strong></th>";
		echo "<th><strong>Packing slip</strong></th>";
		echo "<th><strong>Boxes</strong></th>";
		echo "<th><strong>Box weight</strong></th>";
		echo "<th><strong>PO number</strong></th>";
		echo "<th><strong>PO Line</strong></th>";
while($r = mssql_fetch_assoc($result15)) { 
$id = $r['ID'];
if($id == $_POST[data][$t]){
$t++;
 
include('kolor.php');
		echo "<tr><td>".$r['ID']."</td>";
		echo "<td>".$r['NR_DET']."</td>";
		echo "<td>".$r['ILOSC']."</td>";
		echo "<td><input type=text name=pack_slip value='".$r['PACKING_SLIP']."'/></td>";
		echo "<td><input type=text name=boxes value='".$r['BOXES']."'/></td>";
		echo "<td><input type=text name=box_weight value='".$r['BOX_WEIGHT']."'/></td>";
		echo "<td>".$r['NR_ZAMOWIENIA']."</td>";
		echo "<td>".$r['NR_LINII']."</td>";
		echo "<td><input type='submit' name='Save' value='Save'></td></tr>";
		$gti=$r['ID'];
		$pack_slip=$_POST['pack_slip'];
		$boxes=$_POST['boxes'];
		$box_weight=$_POST['box_weight'];
		if($pack_slip!=$r['PACKING_SLIP'] or $boxes!=$r['BOXES'] or $box_weight!=$r['BOX_WEIGHT']){
				$query22="UPDATE [PORTAL].[dbo].[IT_TEST] SET packing_slip = '$pack_slip' ,boxes = '$boxes', box_weight = '$box_weight' WHERE ID = '$gti'";
				$result22=mssql_query($query22);
				}
	}
$ps++;
 
}
echo "</form>";
    echo "</table>"; 
 
 
ob_flush();
mssql_close($dbhandle);
include ('footer.html');
?>
[PHP] pobierz, plaintext 

Do tego pliku przekazuję zmienne w tablicy data metodą POST.
Jednak gdy zrobię refresh (F5) to wszystko znika - zmienne się kasują. Jak zapisać je na stałe, aby się nie kasowały?
Jest jeszcze kwestia tego, że nie działa zapisywanie wartości do SQL poprzez Update - nie wiem co tam jest nie tak.
Jeśli macie jakieś pomysły to pomoc mile widziana.

[mathijas]

Łojeju, chłopie.. :)

$_POST jest tablicą, która dotyczy danych wchodzących. Jak naciśniesz F5, to nie odświeżasz formularza, więc $_POST jest tracony.

Proste rozwiązanie - przepisz $_POST do $_SESSION. Możesz poszukać w dokumentacji funkcji array_merge o ile się nie mylę, a na pewno możesz spróbować

foreach($_POST as $k=>$v) $_SESSION[$k]=$v;

To takie "nieeleganckie" trochę rozwiązanie ale zadziała. Zrób tak na samym początku a potem odwołuj się tylko do $_SESSION. Jeśli formularz nadpiszesz, to automatycznie dane się uaktualnią.

Ma to jednak wadę - w $_SESSION będziesz miał zajęte te zmienne, które dodałeś z $_POST.


Co do drugiej sprawy - najpierw pozbądź się SQL Injection, a potem spróbuj odpalić to zapytanie w konsoli MSSQLa - powinien Ci powiedzieć jaki jest błąd.

[qubec26]

Ok. Za pierwszą część dzięki.
Co do drugiej to:
Jak pozbyć się SQL injection?
Zapytanie jest ok - tylko jak mam więcej niż jeden rekord to działa źle - bo zawsze spawdza warunki w ostatnim - a wpisuje do wszystkich to samo.

[Mephistofeles]

Jak naciśniesz F5, to nie odświeżasz formularza, więc $_POST jest tracony.

Większość przeglądarek wyświetli wtedy informację o potrzebie wysłania dodatkowych danych, i przyciski tak/nie (IMG:style_emoticons/default/winksmiley.jpg) .

SQL Injection najprościej pozbyć się używając prepared statements, unikniesz wtedy konieczności escape'owania znaków, gdzie mógłbyś o jakiejś zmiennej zapomnieć.