Witam.

Robię prosta wyszukiwarkę która ma znajdować imiona i nazwiska z innej tabeli(osoby) oraz zakupy które ta osoba dokonała z drugiej tabeli (zakupy).
Nie wiem czy wogole dobrze rozwiązałem ta wyszukiwarke bede wdzięczny za korekty i za odpowiedz dlaczego one maja wartość NULL po sprawdzeniu ich funkcją VAR_DUMP.

Wyszukiwarka HTML:

[HTML] pobierz, plaintext 
<b>Wyszukiwarka </b><br><br>
 
 
<form action="wyniki.php" method="post">
Szukane imie<br>    
<input type = "text" name="imie" type=text> <br>  
Szukane nazwisko<br>    
<input type = "text" name="nazwisko" type=text > <br>
<br><br>
Szukaj data od:<br>
<input type = "text" name="data_od" type=text> <br> 
Szukaj data do:<br>  
<input type = "text" name="data_do" type=text > <br> 
<input type=submit value="szukaj">
</form>
[HTML] pobierz, plaintext 

Przetwarzanie w PHP:

[PHP] pobierz, plaintext 
<?php
var_dump($data_od, $data_do,$imie,$nazwisko);    
$data_od = addslashes($data_od);
$data_do = addslashes($data_do);  
$imie= addslashes($imie);  
$nazwisko = addslashes($nazwisko);    
 
 
include("function.php");
 
$query = "select * from osoby where imie, nazwisko like '%".$imie."%'AND '%".$nazwisko."%'" ; 
$query1 = "select * from zakupy where data_zakupu BETWEEN '".$data_od."' AND '".$data_do."'"; 
$result = mysql_query($query);  
$result1 = mysql_query($query1); 
$num_results = mysql_num_rows($result);  
$num_results2 = mysql_num_rows($result1); 
 
print "<p>Ilość znalezionych imion, nazwisko: ".$num_results."</p>";  
for ($i=0; $i <$num_results; $i++)  {  
    $row = mysql_fetch_array($result);    
    print ($i+1).". ";   
    print stripslashes($row["imie"]);    
    print ", Imie: ";     
    print stripslashes($row["nazwisko"]);    
    print "Nazwisko:";
    print "<br>";
}
 
print "<p>Znalezione daty: ".$num_results2."</p>";   
for ($j=0; $j <$num_results2; $j++)  {  
    $row = mysql_fetch_array($result1);    
    print ($j+1).". ";   
    print stripslashes($row["data_od"]);    
    print ", Data Od: ";     
    print stripslashes($row["data_do"]);    
    print "Data Do::";
    print "<br>";
}
 
 
?>
[PHP] pobierz, plaintext 

Bo masz wyłączone register_globals.

Było.

bo do danych z forma nalezy dobierac sie tak: $_POST['nazwapola']
http://nospor.pl/php-faq-n29.html#faq-3

Zmieniłem na:

[PHP] pobierz, plaintext 
<?php
   var_dump($data_od, $data_do,$imie,$nazwisko);
$data_od = addslashes($_POST['$data_od']);
$data_do = addslashes($_POST['$data_do']);  
$imie= addslashes($_POST['$imie']);  
$nazwisko = addslashes($_POST['$nazwisko']);    
 
 
include("function.php");
 
$query = "select * from osoby where imie, nazwisko like '%".$imie."%'AND '%".$nazwisko."%'" ; 
$query1 = "select * from zakupy where data_zakupu BETWEEN '".$data_od."' AND '".$data_do."'"; 
$result = mysql_query($query);  
$result1 = mysql_query($query1); 
$num_results = mysql_num_rows($result);  
$num_results2 = mysql_num_rows($result1); 
 
print "<p>Ilosc znalezionych imion, nazwisko: ".$num_results."</p>";  
for ($i=0; $i <$num_results; $i++)  {  
    $row = mysql_fetch_array($result);    
    print ($i+1).". ";   
    print stripslashes($row["imie"]);    
    print ", Imie: ";     
    print stripslashes($row["nazwisko"]);    
    print "Nazwisko:";
    print "<br>";
}
 
print "<p>Znalezione daty: ".$num_results2."</p>";   
for ($j=0; $j <$num_results2; $j++)  {  
    $row = mysql_fetch_array($result1);    
    print ($j+1).". ";   
    print stripslashes($row["data_od"]);    
    print ", Data Od: ";     
    print stripslashes($row["data_do"]);    
    print "Data Do:";
    print "<br>";
}
 
 
?>
[PHP] pobierz, plaintext 

Register globals zrobilem na OFF w php.ini. I nadal te wartości są NULL

przeciez var_dump dales przed ustawieniem zmiennych..... no mysl troche.

A ty wlasnie masz wyłączone register_globals i nie waż sie dla wlasnego dobra go włączac.

ok wstawilem teraz za zeby zaobrazowac. Nospor myśle , wstawialem w rozne miejsca Wiec wstawione jest tu:

[PHP] pobierz, plaintext 
<?php
 
$data_od = addslashes($_POST['$data_od']);
$data_do = addslashes($_POST['$data_do']);  
$imie= addslashes($_POST['$imie']);  
$nazwisko = addslashes($_POST['$nazwisko']);    
 
   var_dump($data_od, $data_do,$imie,$nazwisko);
include("function.php");
 
$query = "select * from osoby where imie, nazwisko like '%".$imie."%'AND '%".$nazwisko."%'" ; 
$query1 = "select * from zakupy where data_zakupu BETWEEN '".$data_od."' AND '".$data_do."'"; 
$result = mysql_query($query);  
$result1 = mysql_query($query1); 
$num_results = mysql_num_rows($result);  
$num_results2 = mysql_num_rows($result1); 
 
print "<p>Ilosc znalezionych imion, nazwisko: ".$num_results."</p>";  
for ($i=0; $i <$num_results; $i++)  {  
    $row = mysql_fetch_array($result);    
    print ($i+1).". ";   
    print stripslashes($row["imie"]);    
    print ", Imie: ";     
    print stripslashes($row["nazwisko"]);    
    print "Nazwisko:";
    print "<br>";
}
 
print "<p>Znalezione daty: ".$num_results2."</p>";   
for ($j=0; $j <$num_results2; $j++)  {  
    $row = mysql_fetch_array($result1);    
    print ($j+1).". ";   
    print stripslashes($row["data_od"]);    
    print ", Data Od: ";     
    print stripslashes($row["data_do"]);    
    print "Data Do:";
    print "<br>";
}
 
 
?>
[PHP] pobierz, plaintext 

A efekt jest taki:

o litosci.
czy twoje pole nazywa sie $data_od czy moze data_od?
nie: $_POST['$data_od']
a: $_POST['data_od']

Ok, w porządku, faktycznie dałem gafe. Teraz wartości są porządne lecz nie szuka mi ten skrypt. Czy te zapytania MySQLowskie są zrobione poprawnie?

A skad ty zes te skladnie wymyslil? zajrzyj do manuala mysql i zobacz jak sie uzywa WHERE. Masz tam mase przykladow, moze cie oswieci.

1. Ponazywaj pola w formularzu tak, jak pola w bazie, po których masz szukać
2. Odbieraj albo wszystko za jednym zamachem:

[PHP] pobierz, plaintext 
<?php
foreach($_POST as $klucz => $wartosc){
   if(!empty($wartosc)){
      //tu rób walidację przekazywanych wartości
      $kryteria[] = "WHERE $klucz='$wartosc'";
   }
}
if(!empty($kryteria)){$kryteria = ' '.join(" AND ",$kryteria);}
$query = "SELECT * FROM tabela$kryteria";
?>
[PHP] pobierz, plaintext 

Albo wrzucaj po kolei do tablicy każde kryterium szukania, a potem łączysz to join'em + AND w środku. Inaczej się zarobisz, a nic nie zrobisz.

Edit: Oczywiście masz rację Nospor, ale przecież nie będziemy przy każdym rozwiązaniu pisać, jak i po co należy walidować dane odbierane od użytkownika - zresztą nawet zaznaczyłem w kodzie, że ma być walidacja - nazwa klucza może (a nawet powinna) wywoływać określoną funkcję walidującą, np. waliduj_imie, waliduj_miasto, waliduj_data etc. Próba przesłania innego klucza zaowocuje natychmiast komunikatem fatal_error. Jak ktoś nie robi walidacji, to niezależnie od metody odbierania danych będzie miał prędzej czy później przechlapane.

No, nie ma to jak dac potencjalnemu hakerowi mozliwosc szukania w naszym serwisie po tym po czym mu sie zamarzy.
Pamietaj tez, ze postem lecą nie tylko pola z kolumanami.
Jesli juz tak bardzo chcesz, to nalezy okreslic tablice, ktora bedzie zawierała dozwolone nazwy kolumn