基于AJAX与PHP/MySQL实现成绩百分比数据保存教程

在web开发中，将前端用户输入通过ajax异步请求发送到后端php脚本，再由php脚本与mysql数据库进行交互，是常见的应用场景。本教程将以一个成绩管理系统为例，深入探讨如何解决前端ajax提交百分比数据到php后端时遇到的数据库连接和操作问题。

1. 前端AJAX请求分析

前端代码负责收集用户输入的百分比数据，进行初步验证，并通过AJAX请求将其发送到服务器。

        $('#percentage-form').submit(function(e){
            e.preventDefault(); // 阻止表单默认提交行为
            $('.pop_msg').remove(); // 清除旧的提示信息
            var _this = $(this);
            var total = $('#total').text();
                total = total.replace(/\%/gi,''); // 移除百分号
                console.log(total);

            // 客户端总百分比验证
            if(parseFloat(total) !== 100)
            {
                alert("Total Percentage must be 100%");
                return false;
            }

            var _el = $('
');
                _el.addClass('pop_msg');
            $('#uni_modal button').attr('disabled',true); // 禁用按钮防止重复提交
            $('#uni_modal button[type="submit"]').text('submitting form...'); // 更新按钮文本

            // 发送AJAX请求
            $.ajax({
                url:'./Actions.php?a=save_percentage', // 请求的URL，包含动作参数
                method:'POST',
                data:$(this).serialize(), // 序列化表单数据
                dataType:'JSON',
                error:err=>{ // 错误处理
                    console.log(err);
                    _el.addClass('alert alert-danger');
                    _el.text("An error occurred.");
                    _this.prepend(_el);
                    _el.show('slow');
                     $('#uni_modal button').attr('disabled',false);
                     $('#uni_modal button[type="submit"]').text('Save');
                },
                success:function(resp){ // 成功处理
                    if(resp.status == 'success'){
                        _el.addClass('alert alert-success');
                        $('#uni_modal').on('hide.bs.modal',function(){
                            location.reload(); // 成功后刷新页面
                        });
                    }else{
                        _el.addClass('alert alert-danger');
                    }
                    _el.text(resp.msg); // 显示服务器返回的消息

                    _el.hide();
                    _this.prepend(_el);
                    _el.show('slow');
                     $('#uni_modal button').attr('disabled',false);
                     $('#uni_modal button[type="submit"]').text('Save');
                }
            });
        });

这段jQuery/AJAX代码逻辑清晰：它监听表单提交事件，阻止默认行为，执行客户端总百分比（必须为100%）验证。验证通过后，禁用提交按钮并发送一个POST请求到Actions.php，附带a=save_percentage参数和序列化的表单数据。AJAX请求会根据服务器响应（成功或失败）更新UI。

2. 后端PHP逻辑与数据库连接问题

原始的PHP Actions.php脚本旨在处理save_percentage动作，将提交的百分比数据保存到component_subject_percentage表中。

原始 Actions.php 代码片段：

立即学习“PHP免费学习笔记（深入）”；

 $v){
            if(!empty($data)) $data .= ", ";
            $data .= "('$id','{$v}','{$percentage[$k]}')";
        }
        if(!empty($data))
        // 尝试执行DELETE和INSERT操作
        $this->query("DELETE FROM `component_subject_percentage` where `subject_id` = '{$id}'");
        $sql = "INSERT INTO `component_subject_percentage` (`subject_id`,`component_id`,`percentage`)VALUES {$data}";
        $insert = $this->query($sql); // 问题所在：`$this`对象没有`query`方法

        if($insert){
            $resp['status'] ='success';
            $resp['msg'] = "Data successfully saved";
        }else{
            $resp['status'] ='failed';
            $resp['msg'] = "Data fails to save. Error: ". $this->lastErrorMsg(); // 问题所在：`$this`对象没有`lastErrorMsg`方法
            $resp['sql'] = $sql;
        }
        return json_encode($resp);
    }
}
// ... 实例化和调度代码 ...

问题分析： 原始的Actions类没有建立任何数据库连接。$this->query()和$this->lastErrorMsg()方法是mysqli对象的方法，但Actions类本身并不是一个mysqli连接对象，也没有包含一个已实例化的mysqli对象。因此，当调用这些方法时，PHP会抛出错误，导致数据无法保存。尽管DBConnection.PHP文件定义了一个全局的mysqli连接变量$con，但Actions类并没有使用它。

3. 解决方案：正确建立和使用MySQLi连接

为了解决上述问题，我们需要在Actions类中正确地建立并使用mysqli数据库连接。最推荐的方式是使用组合（Composition）模式，即在Actions类中包含一个mysqli连接对象。

修正后的 Actions.php 代码：

sql = new mysqli("localhost", "root", "", "resultgrading");
        // 检查连接是否成功
        if($this->sql->connect_error){
            die("Connection Failed: " . $this->sql->connect_error);
        }
    }

    function save_percentage(){
        // 注意：extract($_POST) 存在严重安全隐患，应避免使用。
        // 为演示目的暂时保留，但后续会给出更安全的替代方案。
        extract($_POST); 

        $data = "";
        // 遍历组件ID和百分比，构建SQL VALUES部分
        foreach($component_id as $k => $v){
            if(!empty($data)) $data .= ", ";
            // 注意：直接拼接变量到SQL字符串存在SQL注入风险
            $data .= "('$id','{$v}','{$percentage[$k]}')";
        }

        if(!empty($data)){
            // 先删除现有数据
            // 注意：这里同样存在SQL注入风险
            $this->sql->query("DELETE FROM `component_subject_percentage` where `subject_id` = '{$id}'");
        }

        // 构建INSERT语句
        $mb = "INSERT INTO `component_subject_percentage` (`subject_id`,`component_id`,`percentage`)VALUES {$data}";
        // 执行INSERT操作
        $insert = $this->sql->query($mb);

        if($insert){
            $resp['status'] ='success';
            $resp['msg'] = "Data successfully saved";
        }else{
            $resp['status'] ='failed';
            // 使用$this->sql->error 获取错误信息
            $resp['msg'] = "Data fails to save. Error: ". $this->sql->error; 
            $resp['sql'] = $mb; // 修正为实际执行的SQL语句变量
        }
        return json_encode($resp);
    }

    // 析构函数，在对象销毁时关闭数据库连接
    function __destruct(){
        if($this->sql){
            $this->sql->close();
        }
    }
}

// 实例化Actions类并根据GET参数调用相应方法
$a = isset($_GET['a']) ?$_GET['a'] : '';
$action = new Actions();
switch($a){
    case 'save_percentage':
        echo $action->save_percentage();
    break;
    default:
    // 默认动作，可根据需求添加
    break;
}

关键修正说明：

ChatsNow

ChatsNow是一款免费的AI写作类浏览器插件，提供智能聊天机器人、智能翻译、智能搜索等工具

下载

1. public $sql;: 在Actions类中声明一个公共属性$sql，用于存储mysqli连接对象。
2. __construct(): 在类的构造函数中，通过$this->sql = new mysqli("localhost", "root", "", "resultgrading");实例化一个mysqli对象，并将其赋值给$this->sql属性。这样，每个Actions类的实例都将拥有一个独立的、可用的数据库连接。
3. $this->sql->query(): 现在，所有的数据库查询都通过$this->sql->query()方法来执行，确保了query方法是在一个有效的mysqli连接对象上调用的。
4. $this->sql->error: 获取数据库操作的错误信息时，应使用$this->sql->error属性，而不是$this->lastErrorMsg()（后者通常用于SQLite3或旧版mysql扩展）。
5. __destruct(): 添加析构函数以在对象生命周期结束时关闭数据库连接，释放资源。

关于Class Actions extends mysqli的说明： 原始问题提供的“修复”方案中，Actions类同时extends mysqli。虽然PHP允许这样做，但在本例中，由于实际的数据库操作都是通过$this->sql对象（即组合模式）完成的，extends mysqli是冗余且未被使用的。通常，为了更好的代码组织和职责分离，推荐使用组合而非继承来管理数据库连接。

4. 安全性与最佳实践

尽管上述修正解决了数据库连接问题，但代码中仍存在严重的安全漏洞和需要改进的地方。

1. SQL注入漏洞：

   • extract($_POST)直接将POST数据转换为变量，容易与现有变量冲突，且不安全。
   • 直接将用户输入（如$id, $v, $percentage[$k]）拼接到SQL查询字符串中，是典型的SQL注入漏洞。恶意用户可以通过输入特定的字符串来修改或破坏数据库。
   • 解决方案： 务必使用预处理语句（Prepared Statements）。mysqli提供了prepare()、bind_param()和execute()方法来安全地执行SQL查询。

   使用预处理语句的示例（针对INSERT部分）：

   // 假设 $component_id 和 $percentage 都是数组
   $stmt_delete = $this->sql->prepare("DELETE FROM `component_subject_percentage` WHERE `subject_id` = ?");
   $stmt_delete->bind_param("i", $id); // 假设 $id 是整数类型
   $stmt_delete->execute();
   $stmt_delete->close();
   
   $stmt_insert = $this->sql->prepare("INSERT INTO `component_subject_percentage` (`subject_id`,`component_id`,`percentage`) VALUES (?, ?, ?)");
   foreach($component_id as $k => $v){
       $stmt_insert->bind_param("iii", $id, $v, $percentage[$k]); // 假设都是整数
       $stmt_insert->execute();
       // 检查错误：if ($stmt_insert->error) { ... }
   }
   $stmt_insert->close();

   请根据实际数据类型（i代表整数，s代表字符串，d代表浮点数，b代表BLOB）调整bind_param的类型字符串。

2. 错误处理：

   • 当前错误处理仅返回简单的消息。在生产环境中，应记录更详细的错误日志，而不是直接向用户显示敏感的错误信息（如SQL语句）。
   • 考虑使用try-catch块来处理数据库操作可能抛出的异常。

3. 数据库连接管理：

   • 在大型应用中，频繁地创建和关闭数据库连接会带来性能开销。可以考虑使用单例模式（Singleton Pattern）或依赖注入（Dependency Injection）来管理数据库连接，确保在整个请求生命周期内只创建一个连接实例。

总结

通过本教程，我们深入分析了一个常见的AJAX与PHP/MySQL交互中的数据库连接问题，并提供了一个基于mysqli组合模式的有效解决方案。同时，我们强调了在Web开发中至关重要的安全性（特别是SQL注入防范）和代码质量的最佳实践。开发者在构建类似功能时，应始终将安全性和代码可维护性放在首位，采用预处理语句等机制来保护应用免受恶意攻击。