Dopóki wszystko robiłem w miarę statycznie strona działała bez najmniejszego zarzutu, ale jako, że lubię wyzwania postanowiłem stworzyć funkcję, która wszystko generuje dynamicznie (a do wygenerowania jest kilka takich formularzy).

Także przejdźmy do sedna:

[PHP] pobierz, plaintext 
	function forma( $tabela, $teksty ) {
 
		// tutaj znajduje się raczej nie istotna część kodu
 
		if ( isset( $_POST[ $pole ] ) ) {
			$zapytanie = '"SELECT cena FROM ' . $tabela . ' WHERE';
 
			foreach ( $_POST as $name => $value )
				$$name = trim( htmlspecialchars( $value ) );
 
			foreach( $head as $name => $value ) {
				$pole = $tabela . "_" . $name;
				if ( $name != "cena" ) {
					$zapytanie .= " " . $name . " = '$" . $pole . "' AND";
				} else if ( $name == "cena" ) {
					$zapytanie = substr( $zapytanie, 0, -4 );
					$zapytanie .= '"';
				}
			}
 
			echo $zapytanie;
 
			$query = mysql_query( $zapytanie );
 
			printf( "<h2 class=\"cena\">Cena: <span class=\"kolor\">%s zł</span></h2>", mysql_result( $query, 0 ) );
		}
	}
[PHP] pobierz, plaintext 

Wszystko jest wporządku oprócz tego, wsytepuję nastepujący błąd związany z zapytaniem MYSQL:

[PHP] pobierz, plaintext 
Warning: mysql_result(): supplied argument is not a valid MySQL result resource
[PHP] pobierz, plaintext 

Zapytanie które wyrzucam sobie w ramach debugu do HTML wygląda nastepująco:

[SQL] pobierz, plaintext 
"SELECT cena FROM ulotki WHERE rozmiar = '$ulotki_rozmiar' AND papier = '$ulotki_papier' AND skladane = '$ulotki_skladane' AND ilosc = '$ulotki_ilosc'"
[SQL] pobierz, plaintext 

Sprawdzałem już czy wszystkie zmienne generowane z $_POST nie są puste i zawierają odpowiednie wartości - odpowiedź brzmi tak.

Najważniejsze jest to, że jeśli skopiuję wygenerowane przez skrypt zapytanie i wkleję je na sztywno do kodu wybrana dana wyświetla sie bez najmniejszego problemu.

Liczę na jakakolwiek pomoc i sugestię, jako że jestem samoukiem ; )

Hej!

[PHP] pobierz, plaintext 
$zapytanie .= " " . $name . " = '$" . $pole . "' AND";
[PHP] pobierz, plaintext 

zamień na:

[PHP] pobierz, plaintext 
$zapytanie .= " " . $name . " = '" . $$pole . "' AND";
[PHP] pobierz, plaintext 

Poczytaj o zmiennych zmiennych.

A tak na marginesie, Twoje rozwiązanie jest wyjątkowo dziurawe i pozwala atakującemu na wykonanie praktycznie dowolnego zapytania SQL. Jak już musisz coś takiego robić to filtruj zawartość zmiennej $pole,

Oczywiście że mogę tam zastosować dynamiczne zmienne, nie tak "plain text" jak zrobiłem, ale to nie rozwiązuje problemu.

Co do zabezpieczeń, spokojnie, wiem że nie ma jakiegokolwiek filtrowania danych, ale po pierwsze póki co chciałem się skupić na działaniu kodu, zabezpieczenia dojdą za czasem, jak wszystko zacznie już działać w pełni poprawnie, po drugie formularz składa się z samych ?SELECTów?, więc aby wstrzyknąć kod wymagana już jest ingerencja za pomocą FireBuga lub podobnego narzędzia, więc połowa scripts-kiddes odpada w przedbiegach.

EDIT: Uporałem się z problemem, temat do zamknięcia.