Вот мой код, который не работает должным образом
<?php include('admin/class.php');
Вот мое соединение db:
$hostname="localhost"; $username="root"; $password=""; $dbhandle = mysql_connect($hostname, $username, $password) or die("Unable to connect to MySQL"); echo "Connected to MySQL<br>"; $se = mysql_select_db("timesheet1234",$dbhandle) or die("Could not select timesheet1234"); echo "connected to db";
Здесь я выполняю функции после нажатия кнопки:
if(isset($_POST['save'])) { $sel=@$_POST['selpro']; $mon=@$_POST['mon']; $tue=@$_POST['tue']; $wed=@$_POST['wed']; $thu=@$_POST['thu']; $fri=@$_POST['fri']; $sat=@$_POST['sat']; $sun=@$_POST['sun'];
Здесь я пишу функцию запроса
if(isset($_SESSION['user'])) { echo "session user"; $sql="UPDATE empdaytimesheet SET `project code`='$sel',`mon`='$mon',`tue`='$tue',`wed`='$wed',`thu`='$thu',` fri`='$fri',`sat`='$sat',`sun`='$sun' where `username`='".$_SESSION['user']."'"; $res=mysql_query($sql,$dbhandle);
Вот проблема, в которой он не работает:
if($res){ echo "<script type='text/javascript'>"; echo "alert('TimeSheet Saved..!')"; echo "</script>"; echo "<script type='text/javascript'>"; echo "window.location='my_timesheet.php'"; echo "</script>"; } else { echo "<script type='text/javascript'>"; echo "alert('Some Error Occured ! Retry..!')"; echo "</script>"; echo "<script type='text/javascript'>"; echo "window.location='my_timesheet.php'"; echo "</script>"; } } } ?>
Удалите '@' перед $ _POST, и все должно быть в порядке.
Однако ваш текущий скрипт выглядит так, что он уязвим для SQLi.
И вы также используете устаревшее расширение. Вместо этого вы должны использовать MySQLi или PDO.
Проверьте этот ответ на более подробную информацию о том, как сделать код более безопасным.