Forum PHP.pl > [PHP][MYSQL] zmienna GET a zapytanie do bazy mysql

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [PHP][MYSQL] zmienna GET a zapytanie do bazy mysql

!*!

10.12.2008, 18:49:41

tak dla sprawdzenia jak to działa robię wyszukiwarkę, po wpisaniu do inputa przesyłam to getem do bazy, ale mam kilka pytań związanych z takimi zapytaniami.

[PHP] pobierz, plaintext 
<?php
//pobranie szukanego słowa ze zmiennej wysłanej inputem
 
$wynik = ucp(wds($_GET['wyszukaj']));
 
// dalej zapytanie do mysql odwołujące się do zmiennej $wynik
?>
[PHP] pobierz, plaintext

fukncja ucp:

[PHP] pobierz, plaintext 
<?php
function ucp($zrodlo){
$zrodlo = preg_replace("//",'',$zrodlo);
$zrodlo = preg_replace("/\"/",'',$zrodlo);
$zrodlo = preg_replace("/'/",'',$zrodlo);
$zrodlo = preg_replace("/</",'',$zrodlo);
$zrodlo = preg_replace("/>/",'',$zrodlo);
$zrodlo = preg_replace("/=/",'',$zrodlo);
$zrodlo = preg_replace("/%/",'',$zrodlo);
$zrodlo = preg_replace("/--/",'',$zrodlo);
$zrodlo = strtolower($zrodlo);
$zrodlo = trim($zrodlo);
return $zrodlo;
}
?>
[PHP] pobierz, plaintext

funkcja wds:

[PHP] pobierz, plaintext 
<?php
function wds($zrodlo){return htmlspecialchars(mysql_real_escape_string(trim($zrodlo)));}
?>
[PHP] pobierz, plaintext

Może tak być, aby zapytanie do bazy było prawidłowe? Bez żadnych niespodzianek z wysłaniem spreprawowanego kodu

Idąc dalej chciałbym wyświetlić ten wyraz który podałem w inpucie jako echo, czyli

[PHP] pobierz, plaintext 
<?php
echo $wynik;
?>
[PHP] pobierz, plaintext

ale tu mam zgryz bo, jeśli wpiszę taki wyraz:

Kod

coś"tam"\/\\\/'zczcx'

w adresie strony jest:

Kod

co%C5%9B%22ta%22%5C%2

to powinny zostać usuniętę wszytkie znaki, \ " i ' ale nie ma tak dobrze i zostaje sam cudzysłów, pomimo że fukncja powinna go usunąć...

Jak zbudować odpowiednie filtrny aby wyraz był wysyłany bezpiecznie do bazy a wywietlany czysty bez znaków " i ' ?

przy próbie odczu w takiej formie:

[PHP] pobierz, plaintext 
<?php
function ozs($zrodlo){return stripslashes(trim($zrodlo));}
 
echo ozs($wynik);
?>
[PHP] pobierz, plaintext

Nadal nie ma czystego wyrazu...

wookieb

10.12.2008, 18:55:17

Wystarzczy SAMO http://php.net/mysql_real_escape_string

sowiq

10.12.2008, 18:59:08

A na przyszłość do zamiany/wyrzucenia pojedynczego znaku ze stringa używaj str_replace()

!*!

11.12.2008, 16:34:10

Kod

function ucp($zrodlo){
$zakaz = array("\\","\"","<",">","'","%","=");
$zrodlo = str_replace($zakaz, "", $zrodlo);
$zrodlo = trim($zrodlo);
return $zrodlo;
}

I tak ma być jak chce usunąć sam \ to wpisuje \\? a nie jak w przypadku /\\\/ ? Poza tym dlaczego wymagany jest przy tym / a przy innych znakach już nie?

Poza tym nadal nie wiem dlaczego nie usuwa znaku cudzysłowia oraz < > ze stringu który chce wyświetlić

Pilsener

11.12.2008, 19:49:58

1. mysql_real_escape_string - zabezpieczy przed sql injection
2. urlencode - zakoduje znaki specjalne w adresie

Ja nie lubię przekazywać w adresie takich rzeczy - najczęściej wrzucam kryteria do bazy (bo i tak robię staty, co, kto i keidy szuka etc.), a w adresie wystarczy dać: kryteria=1234 - nowe szukanie to nowe id.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.