PHP: BBCode avec sélection SQL?

Question

Je voudrais coder un bbcode avec la sélection SQL. Fondamentalement, je veux que l'utilisateur soit en mesure d'entrer [user]Anotheruser[/user] dans un champ de texte, qui est ensuite converti en front-end à une URL qui ressemble à ceci: http://mydomain.com/user/[userid]/anotheruser. Donc, pour obtenir l'ID utilisateur, je dois inclure une sélection SQL, et en plus, s'il existe une autre possibilité de trouver l'autre utilisateur. Est-ce que je peux faire ceci avec un preg_replace comme habituellement utilisé pour créer le bbcode, ou dois-je faire quelque chose de plus complexe?

Answer 1

Pré-endroit devrait fonctionner, faire attention. Assurez-vous de réparer tous les trous ... attention à l'injection de sql en particulier.

Answer 2

Vous devriez éviter les injections POST-side, comme vous devriez le faire partout ailleurs.

Cette situation n'est pas différente du tout.

Answer 3

preg_match la balise d'abord, obtenir le nom d'utilisateur, exécutez la requête (attention et faire ce pas en toute sécurité!) Et remplacer toute la chaîne en correspondance avec la nouvelle URL:

preg_match_all ('#\[user\](.*?)\[/user\]#i', $text, $matches, PREG_SET_ORDER); 

for ($i = 0, $j = count($matches); $i < $j; $i++) 
{ 
    $userName = $matches[$i][1]; 
    $userId = 0; 

    // query example with mysqli 
    $stmt = $sql->prepare('SELECT uid FROM users WHERE username = ? LIMIT 1'); 
    $stmt->bind_param('s', $userName); 
    $stmt->execute(); 
    $stmt->bind_result($userId); 

    if ($stmt->fetch()) 
    { 
     $text = str_replace($matches[$i][0], "<a href=\"/user/$userId/$userName\" title=\"$userName\">$userName</a>", $text); 
    } 
}