<?php
// savecomment.php// 大家先不要看注释，看完本文后，再回过头来看
require ("config.php");
mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
$name=$_POST['name'];
$content=$_POST['content'];
$blogid=$_POST['blogid'];
$datearray=getdate(time());
$date=date("Y-m-d h:i:s",$datearray[0]);
if (!empty($name) && !empty($content)){
//用empty函数判断表单非空的话则往下。
if(strlen($name) > 20){
//通过非空判断则开始判断$name的长度。
error(“名字超过20个字节（20个英文或10个汉字）<br>”);
}
f(!is_numeric($_POST['blogid'])){
error(“隐藏数据被非法修改过，请返回<br>”);
}
//由于$blogid待会是要放进select的，此变量是用来标示评论是属于哪篇文章，它是int类型，虽说是隐藏变量，但攻击者也是可以在本地修改远程提交的，所以我们在放进select之前需要检查类型。
$blogsql = "Select * FROM $comment_table Where blogid=$blogid"
$blogresult = mysql_db_query($dbname, $blogsql);
$blog = mysql_fetch_array($blogresult);
if(strlen($name) == strlen($blog[name]) && strlen($content) == strlen($blog[content])){
//查询数据库的两个字段的长度，因为名字长度可能相同，但两个都相同正常情况下出现的几率就相当小了，所以用&&同时判断。
error(“你欲提交的内容评论里已存在，请返回<br>”);
}
//下面就开始判断时间间隔。更详细的说明请看文章后面内容。
session_start();
if(session_is_registered("time") && time()-$_SESSION['time']<60*2){ error(“对不起,你两次提交的时间间隔还不到2分钟<br>”);
} else {
$sql="Insert INTO $comment_table(date,name,content,blogid) VALUES('$date','$name','$content','$blogid')"
mysql_db_query($dbname,$sql);
mysql_close();
$time=time();
session_register("time");
succeed(“评论提交成功<br>”);
}}
//结束非空的判断
error(“你没有填写完所有表单<br>”);
?>

<form action="savecomment.php" method="POST">
<input type="hidden" name="blogid" value="<?=$row[blogid]?>">
您的名字：<input name="name" type="text" size="20" maxlength="100">
评论内容：<textarea name="content" cols="60" rows="8"></textarea>
<input type="submit" name="Submit" value="提交"></form>