Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Zaoytanie SQL ze zmienna z formularza
Forum PHP.pl > Forum > PHP
dawid_p
29.09.2006, 15:54:23
Mam takie zapytanie na stronce:

$sql = "SELECT * FROM $kiedy2 WHERE city LIKE $kierunek";

zmienne $kiedy i $kierunek pochodzą z formularza z poprzedniej strony. W przypadku ,gdy nie umieszczam warunku (WHERE city LIKE $kierunek) wszystko jest ok , ale gdy dołączam ten warunek pojawia się komunikat

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource

nawet jak wpisuje recznie city LIKE"Szczecin" wyswietla mi eten sam komunikat. Polaczenie z baza jest ok, w tabeli jest pole city i jego zawartosc tez jest taka jak w zapytaniu,a mimo to ciagle nie dziala.

HELP.
L_Devil
29.09.2006, 16:04:05
zgubiłeś cudzysłowy:

[PHP] pobierz, plaintext 
  1. <?php
  2. $sql = "SELECT * FROM `$kiedy2` WHERE city LIKE '$kierunek'";
  3. ?>
[PHP] pobierz, plaintext


Po drugie, nigdy nie stosuj zapytań do bazy danych z czystymi danymi z forumlarzy... pamiętaj, że haker może wpisać jako $kiedy2 = "users WHERE login='admin';--" i dzięki temu, twoje zapytanie będzie wyglądało tak:

[SQL] pobierz, plaintext 
  1. SELECT * FROM users WHERE login='admin';-- WHERE city LIKE "";
[SQL] pobierz, plaintext
tak, dwa myślniki to znak komentarza w sql winksmiley.jpg

Poczytaj o sql insertion/sql injection w dziale o bazach danych żeby wiedzieć, jak się przed tym zabezpieczyć winksmiley.jpg

PS> jeżeli to nie pomogło wywołaj

[PHP] pobierz, plaintext 
  1. <?php
  2. echo mysql_error();
  3. ?>
[PHP] pobierz, plaintext
zaraz po zapytaniu i powiedz, co wyświetliło winksmiley.jpg
dawid_p
29.09.2006, 16:31:58
Dalej to samo

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /forms/oferta.php on line 42

Warning: mysql_free_result(): supplied argument is not a valid MySQL result resource in /forms/oferta.php on line 64

Mój błąd. Teraz jest wszystko wporządku,dzięki za pomoc. Ta choroba mnie dobija i juz ledwo widze na oczy smile.gif
mokry
29.09.2006, 16:36:28
Spróbuj tak:
[PHP] pobierz, plaintext 
  1. <?php
  2. $sql = "SELECT * FROM '$kiedy2' WHERE city LIKE '$kierunek'";
  3. ?>
[PHP] pobierz, plaintext


Wczesniej przed zapytaniem proponuje tak:
[PHP] pobierz, plaintext 
  1. <?
  2. $_POST['kiedy2'] = addslashes($kiedy2);  //zabezpiecza przed zmiana zapytania
  3. ?>
[PHP] pobierz, plaintext

To samo ze zmienna kierunek
dawid_p
29.09.2006, 16:37:03
Po pierwsze wpisac nie może , bo to sa pola formularza bez dostępu, które zostały wypełnione danymi jeszcze z wczesniejszego formularza i tak sformatowane,że nawet ja nie widze,ze to formularz(Zablokowany dostęp, brak obramowania,itd...). A w adresie strony nic się nie wyswietla smile.gif Ale dzięki za ostrzeżenie, jakto mówią "Strzeżonego Pan Bóg strzeże"
mokry
29.09.2006, 16:39:19
To nie lepiej jest po prostu wyswietlic dane na stronie w normalny sposob a pola dac w input type="hidden"?
dawid_p
29.09.2006, 17:00:12
też można...
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.