Forum PHP.pl > [SQL] Zapytanie SQL

Pomoc - Szukaj - Użytkownicy - Kalendarz

dareksbs

25.06.2013, 22:45:03

Witam,

Chcę wyciągnąć dane z bazy i nie mogę sobie przypomnieć polecenia SQL aktualnie mam takie :

[SQL] pobierz, plaintext 
SELECT * FROM books WHERE id=".id."
[SQL] pobierz, plaintext

Teraz opiszę co chcę zrobić, a więc mam bazę o nazwie Library w niej mam kategorię books i z kategorii books chcę wyciągnąć dane książek które będą wyłoływane przez id po przez metodę GET

czyli np. library.php?id=6

i wyrzuca książkę o id 6.

Jak mam sformułować dobrze pytanie SQL, bo te co napisałem wyżej nie działa

Pjotrek80

25.06.2013, 22:57:20

Problem jest oczywiście w ".id."
tak pewnie zadziała: SELECT * FROM books WHERE id=$_GET['id'];
Ale oczywiscie nie możesz w ten sposób tworzyć zapytań. Prosisz się wtedy o ataki sql Injection.
Musisz $_GET['id'] przepuscić przez funkcje typu: strip_tags, htmlspecialchars, filter_var()

Mackos

25.06.2013, 22:59:21

Zapytanie wydaje sie ok, tylko zmienna powinna być czymś w stylu:

Cytat

id=".$id."

Jak wrzucasz zapytanie z parametrem z GET koniecznie pamiętaj o przefiltrowaniu parametru najpierw!

dareksbs

25.06.2013, 23:14:50

Cytat(Pjotrek80 @ 25.06.2013, 23:57:20 )

Cytat(Mackos @ 25.06.2013, 23:59:21 )

Zapytanie wydaje sie ok, tylko zmienna powinna być czymś w stylu:

Jak wrzucasz zapytanie z parametrem z GET koniecznie pamiętaj o przefiltrowaniu parametru najpierw!

Ups, źle przepisałem na forum, oczywiście był tam znak $, lecz dalej nie działa... Co do wypowiedzi Pjotrek80, to zrobiłem nową zmienną z $_GET['id']; na $id, oczywiście będzie wszystko przepuszczonę przez htmlspecialchars.

Już naprawiłem, problemem było to że nie zrobiłem pętli przy wyciąganiu danych z bazy

Ale jeszcze mam małe pytanie, jak dopisać else do pętli ? tzn. jeśli ktoś wpiszę id którego nie będzie chciałbym aby wyrzuciło tekst "brak książki w bazie danych" próbowałem do bazy dopisać else ale nie działa

Pjotrek80

25.06.2013, 23:33:39

Jeżeli używasz np mysqli, to pewnie piszesz coś takiego:

[PHP] pobierz, plaintext 
if(mysqli_num_rows($dane) > 0){
  // w przypadku znalezienia informacji w bazie danych
}else {
  // jeżeli nic nie znalazl
}
[PHP] pobierz, plaintext

dareksbs

25.06.2013, 23:41:22

Cytat(Pjotrek80 @ 26.06.2013, 00:33:39 )

Jeżeli używasz np mysqli, to pewnie piszesz coś takiego:

[PHP] pobierz, plaintext 
if(mysqli_num_rows($dane) > 0){
  // w przypadku znalezienia informacji w bazie danych
}else {
  // jeżeli nic nie znalazl
}
[PHP] pobierz, plaintext

Ale ja jestem aktualnie w pętli, mam

[PHP] pobierz, plaintext 
foreach ($books as $books) {
echo '.$books['bookname'].'
itp.
}
[PHP] pobierz, plaintext

I właśnie chciałem po tym dopisać else, ale nie działa

Pjotrek80

25.06.2013, 23:49:24

Cytat(dareksbs @ 26.06.2013, 00:41:22 )

Ale ja jestem aktualnie w pętli, mam

[PHP] pobierz, plaintext 
foreach ($books as $books) {
echo '.$books['bookname'].'
itp.
}
[PHP] pobierz, plaintext

I właśnie chciałem po tym dopisać else, ale nie działa

Masz dwa razy books w pętli foreach

A do czego chcesz przypisać tutaj else?

dareksbs

26.06.2013, 00:04:37

Cytat(Pjotrek80 @ 26.06.2013, 00:49:24 )

Masz dwa razy books w pętli foreach

A do czego chcesz przypisać tutaj else?

Tak wiem bo pierwsze books to jest połączenie z bazą oraz wywołanie polecenia SQL a drugie books to zmienna poprzez którą będę wyciągał rzeczy z bazy, i wszystko ogólnie śmiga dobrze, ale chciałbym jeszcze dopisać jakoś else który by wyrzucał informację gdy ktoś wpiszę w GET id którego nie będzie w bazie

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.