Witajcie,

Otóż niedawno zaczełem pisaćtakie początkujące 'kodziki' w PHP. Mój kod polega na wyciągnieciu danych z bazy danych z tabelki 'SavePlayer'. Zrobiłem że po wpisaniu nicku użytkownika w pole input przekierowuje do podstrony z jego informacjami lecz działą to w ten sposób że po odswieżeniu już jakby 'sesja wygasła' i wyskakuje puste pole bez żadnego profilu. Chciałbym zeby działało to na podstawie http://link.com/users.php?nick={NICK UŻytkownika} i tam wyświetlało dane wybranego użytkownika.

Tak wygląda mój kod:

display.php:

[HTML] pobierz, plaintext 
<html>
<form method="post" name="display" action="users.php" />
Wyszukaj Gracza:<br>
<input type="text" name="Nick" /> 
<input type="submit" name="Submit" value="display" /> 
</form> 
</html>
[HTML] pobierz, plaintext 

users.php:

[PHP] pobierz, plaintext 
<?php
include('conf.php');
 
 
$Nick = $_POST['Nick'];
$query = "select * from SavePlayer where Nick = '$Nick'";
$result = mysql_query($query);
while ($line = mysql_fetch_array($result, MYSQL_ASSOC)) {
 
 
 
 
echo "<div style='float: left;margin-top: 15px;margin-left: 2px;'>";
echo '<img src="Skins/Skin_'.$line['Skin'].'.png" />'; 
echo "<br>\n";
echo "<br>\n";
echo "</div>";
 
echo "
<div style='float: left; margin-top: 15px; margin-left: 10px;'>
<span style='font-family: Oswald; font-size: 15px;'>Ogólne:</span><table>";
 
echo "<table style='float:left;'";
 
echo "<tbody><tr style='height: 27px'><td><b>Nick:</b>";
echo $line['Nick'];
 
 
echo "<tr style='height: 27px'><td><b>Zabójstwa:</b>";
echo $line['Kills'];
 
 
echo "<tr style='height: 27px'><td><b>Śmierći:</b>";
echo $line['Deaths'];
 
 
echo "<tr style='height: 27px'><td><b>Exp:</b>";
echo $line['Exp'];
 
 
echo "<tr style='height: 27px'><td><b>Stan konta:</b>";
echo $line['BankMoney'];
echo "$";
 
echo "<tr style='height: 27px'><td><b>Czas gry:</b>";
echo $line['PlayingTime'];
 
 
echo "<tr style='height: 27px'><td><b>Punkty driftu:</b>";
echo $line['DriftPkt'];
 
echo "<tr style='height: 27px'><td><b>Warny:</b>";
echo $line['Warns'];
 
 
echo " </table> ";
 
 
 
echo " <div style='float: left;margin-top: -26px;margin-left: 130px;'><span style='font-family: Oswald; font-size: 15px;'>Areny DM:</span><table>";
 
echo "<tr style='height: 27px'><td><b>Fragi DE:</b>";
echo $line['FrgDe'];
 
 
echo "<tr style='height: 27px'><td><b>Fragi WA:</b>";
echo $line['FrgWA'];
 
 
echo "<tr style='height: 27px'><td><b>Fragi MI:</b>";
echo $line['FrgMI'];
 
 
echo "<tr style='height: 27px'><td><b>Fragi SN:</b>";
echo $line['FrgSN'];
 
 
echo "<tr style='height: 27px'><td><b>Fragi SO:</b>";
echo $line['FrgSO'];
 
 
echo "<tr style='height: 27px'><td><b>Fragi RPG:</b>";
echo $line['FrgRpg'];
 
 
echo "<tr style='height: 27px'><td><b>Fragi DM:</b>";
echo $line['FrgDM'];
 
 
echo "<tr style='height: 27px'><td><b>Fragi SH:</b>";
echo $line['FrgSH'];
 
 
echo "<tr style='height: 27px'><td><b>Fragi HE:</b>";
echo $line['FrgHE'];
 
 
 
 
echo " </tbody></table></div><br /> <br/>";
 
echo '<iframe src="http://bepowerserver.tk/sygna/signature.php?player_name='.$line['Nick'].' " width="500px" height="150px" ></iframe>';
 
 
} 
?>
[PHP] pobierz, plaintext 

Mógłby ktośpomóc zrobić te linki i zapowiedz tzw 'sql injection' (troche czytałem lecz żaden tutek nie pomógł)

Z góry bardzo dziękuje


PS: Przykład o co mi chodzi znajduje się w tym iframe podanym w users.php

Nie używaj już mysql_* tylko PDO albo mysqli. Jeśli chcesz żeby nick był widoczny w adresie zmień metodę na GET. Natomiast jeżeli chcesz koniecznie zostać przy starym mysql to przepuść $Nick przez mysql_real_escape_string()

Przepraszam ale ja jestem totalnym noobem w php (Od niedawna zaczełem)

[PHP] pobierz, plaintext 
 
 
$Nick = $_POST['Nick'];
$query = "select * from SavePlayer where Nick = '$Nick'";
$result = mysql_query($query);
while ($line = mysql_fetch_array($result, MYSQL_ASSOC)) {
$Nick = mysql_real_escape_string($Nick);
 
[PHP] pobierz, plaintext 

O to chodziło ? ;/

Nie, mysql_real_escape_string odpowiednio dla silnika mysql przygotowuje string aby nie narobił szkody. Dlatego musisz go użyć w linii 3, przed zapytaniem. Jeśli tez wiesz że np nick zawiera tylko znaki a-z0-9 itp to możesz to wcześniej sprawdzić.

Jak jesteś "noobem" jak to określiłeś, to na przyszłość, jeżeli nie znasz działania jakiejś funkcji, to jest jedno miejsce gdzie to działanie w zdecydowanej większości jest przedstawione: w dokumentacji mysql_real_escape_string, w niektórych dokumentacjach są też komentarze, a jak tam nie będzie info to raczej na pewno ktoś w necie coś na ten temat napisał.. Jak myślisz skąd większość z nas dowiaduje się jak działają poszczególne funkcje z różnych języków/bibliotek?