По какой причине при переходе на страницу форма сама отправляет пустые данные на сервер?

Question

[fanus]

Открываю форму и тут же появляется пустая строка в таблице базы данных.

<?php

  if (isset($_POST['btn'])) {
    $names = htmlspecialchars(trim($_POST['userName']));
    $email = htmlspecialchars(trim($_POST['userEmail']));
    $message = htmlspecialchars(trim($_POST['userMessage']));
  }

  $regArr = [
    'fb_name' => $names,
    'fb_email' => $email,
    'fb_message' => $message,
  ];

  // Вызываем функцию записи в базу данных из файла connect.php
  connect('feedback', $regArr);

  ?>

Функция Connect

function connect($table, $params) //Заносим данные в БД
{
  $host = 'localhost';
  $user = 'root';
  $password = '';
  $database = 'mysite';
  $connects = mysqli_connect($host, $user, $password, $database);

  $count = 0;
  $keys = '';
  $values = '';
  foreach ($params as $key => $value) {
    if ($count === 0) {
      $keys = $keys . $key;
      $values = $values . "'" . $value . "'";
    } else {
      $keys = $keys . ", " . $key;
      $values = $values . ", " . "'" . $value . "'";
    }
    $count++;

    $ins = "INSERT INTO $table($keys) VALUES($values)";
    mysqli_query($connects, $ins);
  }
}

Comments

[Ипатьев]

Тут скорее вопрос, а почему она вдруг не должна записывать в БД при любом запросе.

Answer 1

[irishmann]

connect('feedback', $regArr); Засунь в блок if (isset($_POST['btn'])) {
Эта функция у тебя вызывается без условия в любой момент, отсюда и пустые записи в бд

upd: короче как-то так должно выглядить

<?php
if (isset($_POST['btn'])) {
    $names = htmlspecialchars(trim($_POST['userName']));
    $email = htmlspecialchars(trim($_POST['userEmail']));
    $message = htmlspecialchars(trim($_POST['userMessage']));

    $regArr = [
        'fb_name' => $names,
        'fb_email' => $email,
        'fb_message' => $message,
    ];

    // Вызываем функцию записи в базу данных из файла connect.php
    connect('feedback', $regArr);
}
?>

Ну и совет использовать подготовленные запросы, а то sql-injection так можно поймать.

Comments

[fanus]

Спасибо. Попробую.

[fanus]

Все получилось.
Скажите, а разве "htmlspecialchars" не спасет?

[Ипатьев]

fanus, а как вы сами думаете, какое отношение функция под названием htmlspecialchars может иметь к sql инъекциям?
ну, то есть если вы конечно имеете представление о том, что означают оба выделенных жирным шрифтом слова.

[fanus]

Ипатьев, хакеры ведь передают в базу данных собственные запросы через поля ввода формы. С помощью "htmlspecialchars" мы предотвращаем передачу скрипта. Или я совсем не правильно понимаю.

[Ипатьев]

fanus, давайте вернемся к этим двум словам. Вы понимаете, чем отличается HTML от SQL?

[Ипатьев]

fanus, ну в общем я примерно понимаю ваш ход мысли, но он абсолютно неверный.
"htmlspecialchars" никакую передачу не предотвращает. Эта функция форматирует управляющие последовательности HTML, и должна применяться при выводе данных, если они выводятся в HTML.
К SQL же она никакого отношения не имеет, что можно понять даже из названия.