本文讲解如何通过数据库校验与 php 逻辑协同,确保每本图书(以 jalad 字段标识)严格插入且仅允许最多 5 条页面记录(sanad),未填满前禁止插入新书,并提供可运行的健壮代码示例。
本文讲解如何通过数据库校验与 php 逻辑协同,确保每本图书(以 `jalad` 字段标识)严格插入且仅允许最多 5 条页面记录(`sanad`),未填满前禁止插入新书,并提供可运行的健壮代码示例。
在图书管理系统中,若要求“每本书恰好包含 5 个页面(sanad)”,且必须顺序完成当前书的所有页面后,才允许插入下一本新书,则不能仅依赖简单的计数(如 count(*)
核心逻辑如下:
✅ 每次插入前,先查询当前待插入图书(由 jalad 值标识)在表中已存在的页面数量;
✅ 若该书尚未存在(COUNT = 0),允许插入第 1 页;
✅ 若该书已有 1–4 页(COUNT ❌ 若该书已达 5 页,拒绝插入并提示“本书已满”;
❌ 若 jalad 不匹配(例如试图跳过当前书、直接插另一本书),则拒绝并提示“请先完成当前图书”。
⚠️ 注意:原始代码存在严重安全与逻辑缺陷——
- 直接拼接 $_POST 参数到 sql(高危 SQL 注入);
- 使用 count(x) 错误统计字段而非行数(应为 COUNT(*));
- 表结构中列名重复(INSERT INTO books (x,x)),且未体现 jalad/sanad 字段;
- 未获取“最新图书名”用于一致性校验(即缺失 $jalad_last 的来源逻辑)。
以下是修复后的完整、安全、可部署方案:
✅ 正确实现步骤(含防注入与事务保障)
<?php // 1. 数据库连接(使用 pdo + 预处理,更安全通用) $dsn = "sqlsrv:server=$serverName;Database=$database"; try { $pdo = new PDO($dsn, $username, $password, [ PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC ]); } catch (PDOException $e) { die("连接失败: " . $e->getMessage()); } echo "✅ 数据库连接成功n"; // 2. 获取并校验输入(假设前端提交 jalad 和 sanad) $jalad = trim($_POST['jalad'] ?? ''); $sanad = trim($_POST['sanad'] ?? ''); if (empty($jalad) || empty($sanad)) { die("❌ 错误:图书名(jalad)和页面内容(sanad)均为必填项"); } // 3. 查询该图书当前已录入页数(关键:按 jalad 分组统计) $stmt = $pdo->prepare("SELECT COUNT(*) as cnt FROM books WHERE jalad = ?"); $stmt->execute([$jalad]); $row = $stmt->fetch(); $currentCount = (int)$row['cnt']; // 4. 核心业务逻辑判断 if ($currentCount == 0) { // ✅ 新书:允许插入第 1 页 $insertStmt = $pdo->prepare("INSERT INTO books (jalad, sanad) VALUES (?, ?)"); $insertStmt->execute([$jalad, $sanad]); echo "✅ 新图书《{$jalad}》第 1 页已保存"; } elseif ($currentCount < 5) { // ✅ 续写中:确认是同一本书,允许插入下一页 $insertStmt = $pdo->prepare("INSERT INTO books (jalad, sanad) VALUES (?, ?)"); $insertStmt->execute([$jalad, $sanad]); echo "✅ 《{$jalad}》第 " . ($currentCount + 1) . " 页已保存"; } elseif ($currentCount == 5) { // ❌ 已满:拒绝插入 echo "❌ 错误:图书《{$jalad}》页数已达上限(5 页),无法继续添加"; } else { // ❓异常情况(理论上不会发生,因 COUNT 不会 >5,但留作兜底) echo "⚠️ 异常:检测到《{$jalad}》有 {$currentCount} 条记录,请检查数据完整性"; } ?>? 关键增强说明
- SQL 注入防护:全程使用 PDO::prepare() + 参数绑定,杜绝拼接 SQL;
- 字段语义清晰:明确使用 jalad(书名)和 sanad(页面内容)字段,符合业务描述;
- 原子性保障:虽未显式开启事务,但单条 INSERT 本身具备原子性;如需多页批量提交,建议包裹 BEGIN TRANSACTION;
- 空值防御:对 $_POST 做 trim() 和 empty() 检查,避免空字符串入库;
- 用户体验提示:返回具体页码(如“第 3 页”),便于前端反馈。
? 最佳实践建议
- 在数据库层面添加约束(可选):
-- 创建唯一索引防止重复书名+页码组合(若需去重) CREATE UNIQUE INDEX idx_jalad_sanad ON books(jalad, sanad); - 前端配合:提交前通过 ajax 预检当前书页数,禁用“新增图书”按钮直至满 5 页;
- 日志记录:生产环境建议记录每次插入操作(jalad, IP, timestamp)用于审计;
- 扩展性考虑:若未来支持“删除某页”,需同步校验剩余页数是否 ≥1,避免出现 jalad 存在但 cnt=0 的中间态。
遵循此方案,即可稳健实现“五页一书、未满不启新”的强业务约束,兼顾安全性、可维护性与用户体验。
立即学习“PHP免费学习笔记(深入)”;