本文详解如何基于 pdo 构建健壮的用户资料更新页面,重点解决因重复校验导致的“字段已被占用”误报问题,并提供防 sql 注入、会话同步与事务安全的最佳实践。
在开发用户资料更新功能时,一个常见却容易被忽视的问题是:表单预填充了当前用户原有数据(如用户名、邮箱),但提交时仍被判定为“已存在”。根本原因在于你的校验逻辑未排除当前用户自身——即:当用户仅修改 firstname 时,校验 username 和 email 是否重复的查询仍会命中该用户自己的记录,从而错误返回 COUNT > 0。
✅ 正确做法:校验时排除当前用户 ID
你需要在 SELECT 校验语句中加入 AND id != ? 条件,确保只检查其他用户的冲突。以下是重构后的完整逻辑(已移除不安全的 mysqli_real_escape_string,统一使用 PDO 参数化):
if (isset($_POST['userprofileupdate']) && isset($_SESSION['id'])) {
$id = (int)$_SESSION['id']; // 强制整型,防止注入
$firstname = trim($_POST['name_1'] ?? '');
$lastname = trim($_POST['name_2'] ?? '');
$email = filter_var($_POST['email_1'] ?? '', FILTER_SANITIZE_EMAIL);
$username = preg_replace('/[^a-zA-Z0-9_]+/', '', $_POST['username'] ?? ''); // 白名单过滤
// ✅ 校验邮箱是否被其他用户占用(排除自己)
$stmt = $pdo->prepare('SELECT 1 FROM users WHERE email = :email AND id != :id');
$stmt->execute(['email' => $email, 'id' => $id]);
$emailTaken = $stmt->fetch() !== false;
// ✅ 校验用户名是否被其他用户占用(排除自己)
$stmt = $pdo->prepare('SELECT 1 FROM users WHERE username = :username AND id != :id');
$stmt->execute(['username' => $username, 'id' => $id]);
$usernameTaken = $stmt->fetch() !== false;
if ($emailTaken) {
header('Location: /panel/profile?email_taken');
exit;
}
if ($usernameTaken) {
header('Location: /panel/profile?username_taken');
exit;
}
// ✅ 安全执行更新(推荐命名占位符,可读性高)
$sql = "UPDATE users
SET username = :username,
firstname = :firstname,
lastname = :lastname,
email = :email
WHERE id = :id";
$stmt = $pdo->prepare($sql);
$stmt->execute([
'username' => $username,
'firstname' => $firstname,
'lastname' => $lastname,
'email' => $email,
'id' => $id
]);
// ✅ 同步更新 Session(避免销毁后重登录)
$_SESSION['username'] = $username;
$_SESSION['firstname'] = $firstname;
$_SESSION['lastname'] = $lastname;
$_SESSION['email'] = $email;
header('Location: /panel/profile?success=updated');
exit;
}⚠️ 关键注意事项
- 不要销毁 Session:session_destroy() 会导致用户登出。应仅更新对应 Session 变量,保持登录态。
- 输入过滤优于转义:filter_var() 和正则白名单比 mysqli_real_escape_string() 更适合 PDO 场景(后者对 PDO 无效且冗余)。
- 使用 exit 防止后续代码执行:每次 header() 后必须 exit 或 die,否则可能继续执行危险逻辑。
- 前端配合:建议在表单中添加隐藏字段 htmlspecialchars($_SESSION['id']) ?>">,服务端用其替代 $_SESSION['id'](更可控)。
- 事务增强(可选):若后续需联动更新日志表等,可用 $pdo->beginTransaction() 包裹整个流程。
✅ 总结
真正的资料更新不是简单拼接 SQL,而是:
- 精准校验(排除自身 ID);
- 参数化执行(杜绝注入);
- 会话一致性维护(不强制登出);
- 输入净化前置(而非依赖转义)。
遵循以上结构,即可彻底规避“预填字段误判冲突”的经典陷阱,构建安全、健壮的用户资料管理模块。
立即学习“PHP免费学习笔记(深入)”;
