rafkar0252
21.11.2020, 12:55:08
Witam kolegów,
mam problem, a mianowicie zapytanie do DB nie zwraca żadnego wyniku ani błędu. Gdy wpiszę w miejsce zmiennej $data2 datę z palca np. "2020-11-10" wszystko hula. Gdy pobieram z formularz nie działa.
.
CODE
$dataRok = new DateTime($_POST['wybierz']);
echo $data2 = $dataRok->format('Y-m-d').'</br></br>';
$wybierzWinde = $db_polaczenie->prepare('SELECT formularz_rejestr.Adres, formularz_rejestr.Rodzaj, rewizje.Data_nast_rew FROM formularz_rejestr, rewizje
WHERE formularz_rejestr.Id_rejestr = rewizje.Id_rejestr AND rewizje.Data_nast_rew >='.$data2);
$wybierzWinde->execute();
$rezultat = $wybierzWinde->fetchALL(PDO::FETCH_ASSOC);
foreach ($rezultat as $row)
{
echo ('<tr><td>'.$row['Adres'].'</td><td>'.$row['Rodzaj'].'</td><td>'.$row["Data_nast_rew"].'</td></tr></br>');
pomóżcie proszę.
dublinka
21.11.2020, 13:05:21
A co zaraca formularz
Wlacz sobie raportowanie bledow
trueblue
21.11.2020, 13:06:07
gino
21.11.2020, 14:02:19
żebyś wiedział gdzie szukać, to dwie rzeczy ze zmienną $data2 są źle, jedna w definicji zmiennej, druga w samym zapisie zapytania. A tak poza tematem to ten post w ogóle nie w tym miejscu.
rafkar0252
21.11.2020, 16:06:37
Formularz przesyła datę, która ma być porównana klauzulą WHERE z datą w DB i zgodnie z relacją utworzoną w zapytaniu zwrócić zawartość odpowiednich rekordów.
Jeśli mogę, to proszę o więcej wskazówek, studia informatyczne skończyłem ponad 10 lat temu i przez ten czas nie zajmowałem się programowaniem. Teraz musze się uczyć tego od nowa.
gino
21.11.2020, 16:29:09
Data w mysql-u ma okreslony format i jest wyrażona stringiem. W definicji zmiennej format daty jest zły, bo dodałeś dwa tagi br, wyrzuć je. W zapytaniu ta zmienna nie jest zaprezentowana jako string. Poczytaj w php czym różni się cudzysłowów od apostrofu.
rafkar0252
21.11.2020, 16:44:00
ok, dzięki za podpowiedź. Wydawało mi się, że gdy użyje metody ->format klasy DateTime to php sformatuje zmienną do odpowiedniego typ. Po usunięciu tagów, teraz wyświela tylko daty wyzerowane. Wygąlą da na to, że do DB wysyła "1970-01-01"
CODE
<form action="" method="post">
<input type="date" name="wybierz"></input></br></br>
<input type="submit" name="Wyślij"></input></br></br>
</form>
<?php
$dataRok = new DateTime($_POST['wybierz']);
echo $data2 = $dataRok->format('Y-m-d');
$wybierzWinde = $db_polaczenie->prepare('SELECT formularz_rejestr.Adres, formularz_rejestr.Rodzaj, rewizje.Data_nast_rew FROM formularz_rejestr, rewizje
WHERE formularz_rejestr.Id[php]
_rejestr = rewizje.Id_rejestr AND rewizje.Data_nast_rew <='.$data2);
$wybierzWinde->execute();
$rezultat = $wybierzWinde->fetchALL(PDO::FETCH_ASSOC);
foreach ($rezultat as $row)
{
echo ('<tr><td>'.$row['Adres'].'</td><td>'.$row['Rodzaj'].'</td><td>'.$row["Data_nast_rew"].'</td></tr></br>');
}
?>
[/php]
gino
21.11.2020, 16:54:44
W Twoim zapytaniu do BD przesłane jest np.
Kod
rewizje.Data_nast_rew >=2020-11-04
To nie jest string. Dlatego wyrzuca wszystkie daty jakie znajdzie
viking
21.11.2020, 17:28:19
W jaki sposób się zabezpieczasz jeżeli format daty jest nieprawidłowy? Tak, pytanie mające tylko dac do myślenia.
rafkar0252
21.11.2020, 17:29:31
Jak wobec tego powinienem zaklarować tę zmienną? Jak ją przekonwretować na string?
viking
21.11.2020, 17:48:04
- new DateTime otoczone blokiem try / catch
- dane z post do zapytania więc mają być POPRAWNIE zabezpieczone (prepare ma zawierać placeholder a nie dane z POST)
- data jest stringiem więc w zapytaniu kolumna = '2020-01-01' albo funkcja DATE() w mysql. Jak zrobisz poprawnie pkt wyżej będzie dobrze.
rafkar0252
21.11.2020, 17:56:58
Cytat(viking @ 21.11.2020, 17:28:19 )
W jaki sposób się zabezpieczasz jeżeli format daty jest nieprawidłowy? Tak, pytanie mające tylko dac do myślenia.
if (checkdate($mienna)===true)
//wykona się instrukcja
else
//wyświeeetlle echem komunikat
tylko tak bo formularz jest typu date, raczej nie sposób wstrzyknąć sql, ponadto dane z posta są fetchowane przed wysłaniem do bazy.
Bardzo dziękuję za podpowiedź, zastosuje się do wskazówek.
viking
21.11.2020, 18:02:23
To że ustawiłeś sobie date w formie mogę w 5 sekund zmienić w narzędziach developerskich albo wysłać zupełnie inaczej. Co to znaczy że dane są fetchowane? Wszędzie tam gdzie wkładasz dane od użytkownika w swoim kodzie musisz to zabezpieczyć.
rafkar0252
21.11.2020, 18:19:44
Widzę, że czeka mnie mnóstwo czytania na temat praktyk tworzenia bezpiecznych aplikacji webowych. Bezmyślnie uznałem, że metoda fetchALL::DateTime() zabezpiecza dane z POSTA. Jesze raz dziękuję za zwrócenie mi uwagi. Po 10 latach BEZ kodowania myślałem, że coś jeszcze pamiętam, teraz widzę jak się pomyliłem
gino
21.11.2020, 19:29:25
walidacja danych z formularza dotyczy wszystkich przesyłanych danych bez wyjątku, nie tylko daty. Na to, co napisał viking chciałem zwrócić uwage nieco później, jak byś się uporał z wyświetleniem danych z tego zapytania. Mam nadzieję, że zrozumiałeś w czym tkwił błąd. Przecież nawet w opisie typu date mysql-a stoi jak byk:
"MySQL pobiera i wyświetla wartości DATE w formacie 'RRRR-MM-DD'." I zapenwe widzisz te pazurki w których jest ujęta data.
Manual, manual, manual.
rafkar0252
23.11.2020, 18:14:35
gino dzięki - działa. Na laboratorium programowania uczono mnie, że to " ' ' " i ' " " ' można stosować zamiennie. Tyle, że nie pamiętam z którego języka to było programowanie. Jak widać w php muszę na to uważać. Jeszcze raz dziękuję.
viking
23.11.2020, 18:33:16
Tylko że u ciebie nie to było bezpośrednio problemem tylko nieprawidłowo użyty prepare. Prawidłowo użyty odpowiednio by to wysłał do zapytania.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.