Demo entry 6662004



Submitted by anonymous on Nov 23, 2017 at 21:16
Language: HTML+PHP. Code size: 2.0 kB.

  <meta charset="UTF-8">
 <form name="comment" action="stored_xss.php" method="post">
    <input type="text" name="name" placeholder="Введите ваше имя: " required />
    <br />
    <textarea name="text_comment" cols="40" rows="10" placeholder="Введите ваш комментарий: " required></textarea>
    <input type="submit" name="submit" value="Отправить" />
if(isset($_POST["submit"]) && !empty($_POST["submit"])){ //если кнопка "отправить" нажата   
  /* получение переданных пользователем данных в переменные */
  $name = $_POST["name"];
  $text_comment = $_POST["text_comment"];

  $mysqli = new mysqli("localhost", "root", "toor", "Mysite");// Подключение к базе данных
  if ($mysqli->connect_errno) { //если ошибка соединения
      printf("Не удалось подключиться: %s\n", $mysqli->connect_errno);
  //Добавление переданных имя и комментария в бд без фильтрации данных
  if ($mysqli->query("INSERT INTO `test_table` (`name`,`text_comment`) VALUES ('$name', '$text_comment')") == TRUE) 
      print("Комментарий добавлен.");
      echo "<br />";echo "<br />";echo "<br />";
    print("Ошибка при запросе к базе данных");
  $result_set = $mysqli->query("SELECT * FROM `test_table`"); //Извлечение всех комментарии из бд

  /*Вывод комментариев в таблицу*/
    echo " 
    <table border='1'>
    while ($row = $result_set->fetch_assoc()) {
      printf("<tr><td>%s</td> <td>%s</td></tr>", $row['name'],$row['text_comment']);
      echo "</table>";
  $mysqli->close();//Закрытие соединения
else //если кнопка "отправить" не нажата
  print("Enter your comment");
} ?>

This snippet took 0.01 seconds to highlight.

Back to the Entry List or Home.

Delete this entry (admin only).