Forum PHP.pl > Błąd w zapytaniu ?

Pomoc - Szukaj - Użytkownicy - Kalendarz

Forum PHP.pl > Forum > Bazy danych > MySQL

SpiJay

14.06.2013, 17:19:57

Witajcie !

Mam taki kod PHP:

[PHP] pobierz, plaintext 
		if($_POST['zapisz'] != '') {
 
			// Nazwa
			$nazwa = stripslashes($_POST['n_w']);
			$nazwa = htmlspecialchars(trim($nazwa));
			if ($nazwa == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać nazwę wina.';
			}
 
			// rodzaj
			$_POST['k_w'] = preg_replace("[ ]", "", $_POST['k_w']); // pozbywamy się spacji
			$rodzaj = stripslashes($_POST['k_w']);
			$rodzaj = htmlspecialchars(trim($rodzaj));
			if ($rodzaj == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać rodzaj wina.';
			}
			// smak
			$_POST['s_w'] = preg_replace("[ ]", "", $_POST['s_w']); // pozbywamy się spacji
			$smak = stripslashes($_POST['s_w']);
			$smak = htmlspecialchars(trim($smak));
			if ($smak == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać smak wina.';
			}
 
			// region
			$region = stripslashes($_POST['rg_w']);
			$region = htmlspecialchars(trim($region));
			if ($region == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać region wina.';
			}
 
			// winiarnia
			$winiarnia = stripslashes($_POST['wi_w']);
			$winiarnia = htmlspecialchars(trim($winiarnia));
			if ($winiarnia == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać winiarnie.';
			}
 
			// szczep
			$szczep = stripslashes($_POST['sz_w']);
			$szczep = htmlspecialchars(trim($szczep));
			if ($szczep == '' AND $komunikat == '') {
				$komunikat = 'Musisz szczep wina.';
			}
 
			// rocznik
			$_POST['r_w'] = preg_replace("[ ]", "", $_POST['r_w']); // pozbywamy się spacji
			$rocznik = stripslashes($_POST['r_w']);
			$rocznik = htmlspecialchars(trim($rocznik));
			if (strlen($rocznik) == '4') {
				if ($rocznik == '' AND $komunikat == '') {
					$komunikat = 'Musisz podać rocznik wina.';
				}
			} else {
				$komunikat = 'Musisz podać 4 cyfrowy rocznik wina';
			}
 
			// ilosc
			$_POST['i_w'] = preg_replace("[ ]", "", $_POST['i_w']); // pozbywamy się spacji
			$ilosc = stripslashes($_POST['i_w']);
			$ilosc = htmlspecialchars(trim($ilosc));
			if ($ilosc == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać ilość butelek wina.';
			}
 
			// hurtowa
			$_POST['chu_w'] = preg_replace("[ ]", "", $_POST['chu_w']); // pozbywamy się spacji
			$hurtowa = stripslashes($_POST['chu_w']);
			$hurtowa = htmlspecialchars(trim($hurtowa));
			if ($hurtowa == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać cenę hurtową wina.';
			}
 
			// handlowa
			$_POST['cha_w'] = preg_replace("[ ]", "", $_POST['cha_w']); // pozbywamy się spacji
			$handlowa = stripslashes($_POST['cha_w']);
			$handlowa = htmlspecialchars(trim($handlowa));
			if ($handlowa == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać cenę handlową wina.';
			}
 
			// kontynent
			$_POST['ko_w'] = preg_replace("[ ]", "", $_POST['ko_w']); // pozbywamy się spacji
			$kontynent = stripslashes($_POST['ko_w']);
			$kontynent = htmlspecialchars(trim($kontynent));
			if ($kontynent == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać kontynent wina.';
			}
 
			// pojemnosc
			$_POST['po_w'] = preg_replace("[ ]", "", $_POST['po_w']); // pozbywamy się spacji
			$pojemnosc = stripslashes($_POST['po_w']);
			$pojemnosc = htmlspecialchars(trim($pojemnosc));
			if ($pojemnosc == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać pojemność butelki wina.';
			}
 
			// kraj
			$_POST['kr_w'] = preg_replace("[ ]", "", $_POST['kr_w']); // pozbywamy się spacji
			$kraj = stripslashes($_POST['kr_w']);
			$kraj = htmlspecialchars(trim($kraj));
			if ($kraj == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać kraj wina.';
			}
 
			// opis
			$opis = stripslashes($_POST['o_w']);
			$opis = htmlspecialchars(trim($opis));
			if ($opis == '' AND $komunikat == '') {
				$komunikat = 'Musisz podać opis wina.';
			}
 
							if ($_FILES['m_w']['size'] <= $MAXIMUM_FILESIZE) {
 
                                if (preg_match($rEFileTypes, strrchr($safe_filename_mini, '.'))) {
 
                                    if (is_uploaded_file($plik_tmp_mini)) {
 
                                        move_uploaded_file($plik_tmp_mini, $dir_base_mini . $safe_filename_hash_mini . $rozszerzenie_mini);
 
										$zdj_mini = $dir_base_mini . $safe_filename_hash_mini . $rozszerzenie_mini;
 
                                        $komunikat_mini = "Miniaturka została wysłana na serwer.";
 
										$dostep_mini = true;
                                    }
 
                                } else {
 
                                    $komunikat_mini = "Wystąpił problem z załadowaniem obrazka na serwer.";
                                    $komunikat = "Musisz wybrać obrazki do załadowania na serwer.";
 
                                }
							}
 
							if($_FILES['d_w']['size'] <= $MAXIMUM_FILESIZE) {
 
                                if (preg_match($rEFileTypes, strrchr($safe_filename_duzy, '.'))) {
 
                                    if (is_uploaded_file($plik_tmp_duzy)) {
 
                                        move_uploaded_file($plik_tmp_duzy, $dir_base_duzy . $safe_filename_hash_duzy . $rozszerzenie_duzy);
 
										$zdj_duze = $dir_base_duzy . $safe_filename_hash_duzy . $rozszerzenie_duzy;
 
                                        $komunikat_duzy = "Zdjęcie zostało wysłane na serwer.";
 
										$dostep_duzy = true;
                                    }
 
                                } else {
 
                                    $komunikat_duzy = "Nie załadowano dużego obrazka wina.";
                                    $komunikat = "Musisz wybrać obrazki do załadowania na serwer.";
 
                                }
 
                            }
 
			if($komunikat == '') {
 
				if($dostep_duzy == true AND $dostep_mini == true) {
 
					mysql_query("INSERT INTO `wina` (`id`, `nazwa`, `opis`, `smak`, `rodzaj`, `rocznik`, `ilosc`, `cena_hurtowa`, `cena_handlowa`, `kontynent`, `kraj`, `region`, `winiarnia`, `pojemnosc`, `szczep`) VALUES ('', '$nazwa', '$opis', '$smak', '$rodzaj', '$rocznik', '$ilosc', '$handlowa', '$hurtowa', '$kontynent', '$kraj', '$region', '$winiarnia', '$pojemnosc', '$szczep')") or print mysql_error();
					$komunikat_ok = "Dodano nowe wino do sklepu !";
 
				}
 
			}
 
		}
[PHP] pobierz, plaintext

W momencie wypełnienia wszystkich pól poprawnie i przy próbie wpisania nazwy z " ' " -> pojedyńczym apostrofem, wywala mi taki błąd...

Cytat(SQL)

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'asd', 'Opis wina + jakieś znaki : +":<>?}{!@#$%&^&**)', 'w' at line 1

Co robię nie tak ?

nospor

14.06.2013, 17:23:41

Zamiast htmlspecialchars zapoznaj się z czymś takim jak mysql_real_escape_string() - to tego masz używać wkładając wartosci tekstowe do bazy

wujek2009

14.06.2013, 20:01:20

Sądzę, że przepisane tego na PDO ułatwi Ci pracę.
http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO
Zobacz jak się binduje wartości http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO#Podpinanie
(tam jest niżej przykład użycia "bindValue")

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.