基于PHP的新闻管理系统(用户发布版)

以下是一个简化的PHP新闻管理系统用户发布新闻的核心代码示例。假设已经有了数据库连接和用户验证部分。

<?php
// 连接数据库
require_once('database.php');
 
// 用户验证逻辑
require_once('auth.php');
 
// 确保用户已登录
if (!isUserLoggedIn()) {
    header('Location: login.php');
    exit;
}
 
// 处理表单提交
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $title = $_POST['title'];
    $content = $_POST['content'];
 
    // 防止SQL注入
    $title = mysqli_real_escape_string($conn, $title);
    $content = mysqli_real_escape_string($conn, $content);
 
    // 插入新闻到数据库
    $sql = "INSERT INTO news (title, content, author_id, created_at) VALUES (?, ?, ?, NOW())";
    $stmt = mysqli_prepare($conn, $sql);
    mysqli_stmt_bind_param($stmt, 'ssi', $title, $content, $user_id);
 
    // 假设已经从auth.php中获取了当前登录用户的ID
    $user_id = getLoggedInUserId();
 
    if (mysqli_stmt_execute($stmt)) {
        header('Location: index.php');
        exit;
    } else {
        echo "发布失败，请重试。";
    }
}
 
?>
 
<!-- HTML 表单 -->
<form action="publish.php" method="post">
    <label for="title">标题:</label>
    <input type="text" id="title" name="title" required><br><br>
    <label for="content">内容:</label>
    <textarea id="content" name="content" required></textarea><br><br>
    <input type="submit" value="发布">
</form>

这段代码首先检查用户是否已经登录，然后处理提交的新闻表单。它使用了mysqli_real_escape_string来防止SQL注入，并通过预处理语句(prepared statements)和绑定参数(bind\_param)来执行数据库操作。如果新闻发布成功，用户将被重定向到新闻列表或其他页面。如果发布失败，将显示错误信息供用户尝试重新发布。