答案:基于MySQL的PHP留言板通过PDO实现数据提交与查询,包含表单处理、XSS防护和UTF-8编码支持。
要实现一个简单的 PHP 数据留言板,只需使用 PHP 处理表单提交、将留言保存到文件或数据库,并读取显示出来。下面是一个基于 MySQL 数据库的完整功能实现方案,包含留言提交、显示和基本安全处理。
1. 创建数据库和数据表
使用 MySQL 创建一个名为 guestbook 的数据库,并创建一张留言表 messages:CREATE DATABASE guestbook CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci; USE guestbook; <p>CREATE TABLE messages ( id INT AUTO_INCREMENT PRIMARY KEY, name VARCHAR(100) NOT NULL, message TEXT NOT NULL, created_at DATETIME DEFAULT CURRENT_TIMESTAMP );</p>
2. 数据库连接配置(config.php)
创建配置文件用于连接数据库:
<?php
$host = 'localhost';
$db = 'guestbook';
$user = 'root'; // 修改为你的数据库用户名
$pass = ''; // 修改为你的数据库密码
<p>try {
$pdo = new PDO("mysql:host=$host;dbname=$db;charset=utf8mb4", $user, $pass);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
die("数据库连接失败: " . $e->getMessage());
}</p>
3. 留言提交表单(index.php)
这个页面显示留言列表和提交表单:
<!DOCTYPE html>
<html lang="zh">
<head>
<meta charset="UTF-8">
<title>简单留言板</title>
<style>
body { font-family: Arial; max-width: 600px; margin: 20px auto; }
.message { border-bottom: 1px solid #ccc; padding: 10px 0; }
</style>
</head>
<body>
<h2>留言板</h2><pre class='brush:php;toolbar:false;'><!-- 提交表单 -->
<form method="POST" action="">
<label>昵称:</label><br>
<input type="text" name="name" required style="width:100%;padding:8px;margin:5px 0;"><br>
<label>留言内容:</label><br>
<textarea name="message" required style="width:100%;height:80px;padding:8px;margin:5px 0;"></textarea><br>
<button type="submit">提交留言</button>
</form>
<hr>
<!-- 显示留言 -->
<h3>所有留言:</h3>
<?php
require 'config.php';
// 处理表单提交
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$name = trim($_POST['name']);
$message = trim($_POST['message']);
if (!empty($name) && !empty($message)) {
// 防止 XSS
$name = htmlspecialchars($name, ENT_QUOTES, 'UTF-8');
$message = htmlspecialchars($message, ENT_QUOTES, 'UTF-8');
$stmt = $pdo->prepare("INSERT INTO messages (name, message) VALUES (?, ?)");
$stmt->execute([$name, $message]);
}
}
// 查询所有留言
$stmt = $pdo->query("SELECT * FROM messages ORDER BY created_at DESC");
while ($row = $stmt->fetch()) {
echo "<div class='message'>";
echo "<strong>" . htmlspecialchars($row['name']) . "</strong> <small>(" . $row['created_at'] . ")</small><br>";
echo nl2br(htmlspecialchars($row['message']));
echo "</div>";
}
?>
</body> </html>
4. 功能说明与安全建议
这个留言板实现了以下功能:- 用户填写昵称和留言内容并提交
- 数据通过 PDO 插入 MySQL,防止 SQL 注入
- 输出时使用 htmlspecialchars 防止 XSS 攻击
- 自动显示最新留言在最上方
- 支持中文,使用 UTF-8 编码
可选增强功能:
- 添加验证码防止机器人刷屏
- 分页显示大量留言
- 增加管理员删除功能
- 使用 Markdown 或表情支持
基本上就这些。只要把文件放在支持 PHP 和 MySQL 的服务器(如 XAMPP、Nginx + PHP-FPM)中,导入数据库,就能运行一个基础但完整的留言板。不复杂但容易忽略的是安全过滤和字符编码设置。
