Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php]problem z zapytaniami SQL
Forum PHP.pl > Forum > Przedszkole
$ledziu
28.12.2007, 21:31:52
Cześć!! wstydnis.gif
Mam taki problem. Otóż mam sobie taki kod (kawałek):

[PHP] pobierz, plaintext 
  1. <?php
  2. .
  3. .
  4. .
  5. $pytanie=$_REQUEST["pytanie0"];
  6. 	$baza=mysql_select_db("$wybor_bazy") or die ('<br>syf nie pozwolił wybrać bazy');
  7.    $rezultat=mysql_query("$pytanie") or die("nie wykonano zapytania");
  8.    echo "<b>$rezultat</b><br>";
  9.    while ($wynik5=mysql_fetch_array($rezultat,MYSQL_ASSOC))
  10. 		{
  11. 		var_dump($wynik5);
  12. 		echo "<br>";
  13. 		}
  14. .
  15. .
  16. .
  17. ?>
[PHP] pobierz, plaintext


$pytanie pochodzi z tąd:
[HTML] pobierz, plaintext 
  1. .
  2. .
  3. .
  4. <form method=POST action=<? echo $_SERVER['PHP_SELF'] ?> >
  5. <table border=0>
  6. <tr><td>logowanie:</td><td>user: <input type=text name=user size=15> password: <input type=text name=password size=15></td></tr>
  7. <tr><td></td><td><input type=submit value="loguj"></tr>
  8. <tr><td>nazwa bazy:</td><td><input type=text name=nazwa_bazy bazy size=30></td></tr>
  9. <tr><td></td><td><input type=submit value="stwórz">	<input type=submit value="usuń"></tr>
  10. <tr><td>baza:</td><td><input type=text name=baza0 size=15></td></tr>
  11. <tr><td>pytanie:</td><td><input type=text name=pytanie0 size=50x50></td></tr>
  12. <tr><td></td><td><input type=submit value="wykonaj kod SQL"></tr>
  13. </table>
  14. </form>
  15. .
  16. .
  17. .
[HTML] pobierz, plaintext


wszystko łądnie działa dopóki w pytaniu SQL nie występuje koniecznośc użycia cudzyłowia lub dzyndzli blinksmiley.gif  . Przykładowo
[SQL] pobierz, plaintext 
  1. SELECT * FROM klienci;
[SQL] pobierz, plaintext

hula guitar.gif 
[SQL] pobierz, plaintext 
  1. SHOW TABLES;
[SQL] pobierz, plaintext

hula guitar.gif . Ale jak już wpisze troche mocniejszy kodzik:
[SQL] pobierz, plaintext 
  1. SELECT imie FROM klienci WHERE imie='Ania';
[SQL] pobierz, plaintext

to się sypie. plis help
xbigos
28.12.2007, 21:38:55 
[SQL] pobierz, plaintext 
  1. $query = "SELECT `imie` FROM `klienci` WHERE `imie` = `Ania`";
[SQL] pobierz, plaintext


Po co dawać zapytanie do bazy pobierz imię z tabeli klientów gdzie imię jest równe ANIA?
$ledziu
28.12.2007, 21:55:08
Pytanie nie brzmi poco(to tylko przykład) tylko dlaczego nie działa u mnie bo np w Query browser hula, a chodziło mi oto, iż problem jest z przekazywaniem cudzysłowiów (chyba). Bo jak widać próbowałem zrobić pseudo system zarządzania bazą danych. Wiele pytań SQL wykorzystuje znak ' lub " (zwłaszcza jesli tyczy się STRING ' ów ;D) i chciałem wiedzieć dlaczego w moim kodzie to nie hula??
blinksmiley.gif
Hazel
28.12.2007, 21:56:43
Zamiast cudzysłowów wpisuj ciąg \" albo \' . I poza tym to jest po prostu sql injection, problem przed którym trzeba się zabezpieczać, a nie tworzyć skrypty podatne na niego. Zakrawa trochę o hacking.
$ledziu
28.12.2007, 22:02:34
Dzięki Hazel....
No cóż ćwiczę czarodziej.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.