[PHP][MYSQL] Problem z dynamicznym generowaniem zapytania

[PHP][MYSQL] Problem z dynamicznym generowaniem zapytania

Simek Zobacz profil	6.02.2010, 19:33:21 Post #1
Grupa: Zarejestrowani Postów: 2 Pomógł: 0 Dołączył: 6.02.2010 Ostrzeżenie: (0%)	Dopóki wszystko robiłem w miarę statycznie strona działała bez najmniejszego zarzutu, ale jako, że lubię wyzwania postanowiłem stworzyć funkcję, która wszystko generuje dynamicznie (a do wygenerowania jest kilka takich formularzy). Także przejdźmy do sedna: [PHP] pobierz, plaintext function forma( $tabela, $teksty ) { // tutaj znajduje się raczej nie istotna część kodu if ( isset( $_POST[ $pole ] ) ) { $zapytanie = '"SELECT cena FROM ' . $tabela . ' WHERE'; foreach ( $_POST as $name => $value ) $$name = trim( htmlspecialchars( $value ) ); foreach( $head as $name => $value ) { $pole = $tabela . "_" . $name; if ( $name != "cena" ) { $zapytanie .= " " . $name . " = '$" . $pole . "' AND"; } else if ( $name == "cena" ) { $zapytanie = substr( $zapytanie, 0, -4 ); $zapytanie .= '"'; } } echo $zapytanie; $query = mysql_query( $zapytanie ); printf( "<h2 class=\"cena\">Cena: <span class=\"kolor\">%s zł</span></h2>", mysql_result( $query, 0 ) ); } } [PHP] pobierz, plaintext Wszystko jest wporządku oprócz tego, wsytepuję nastepujący błąd związany z zapytaniem MYSQL: [PHP] pobierz, plaintext Warning: mysql_result(): supplied argument is not a valid MySQL result resource [PHP] pobierz, plaintext Zapytanie które wyrzucam sobie w ramach debugu do HTML wygląda nastepująco: [SQL] pobierz, plaintext "SELECT cena FROM ulotki WHERE rozmiar = '$ulotki_rozmiar' AND papier = '$ulotki_papier' AND skladane = '$ulotki_skladane' AND ilosc = '$ulotki_ilosc'" [SQL] pobierz, plaintext Sprawdzałem już czy wszystkie zmienne generowane z $_POST nie są puste i zawierają odpowiednie wartości - odpowiedź brzmi tak. Najważniejsze jest to, że jeśli skopiuję wygenerowane przez skrypt zapytanie i wkleję je na sztywno do kodu wybrana dana wyświetla sie bez najmniejszego problemu. Liczę na jakakolwiek pomoc i sugestię, jako że jestem samoukiem ; ) Ten post edytował Simek 6.02.2010, 20:32:48

legorek Zobacz profil	6.02.2010, 23:15:36 Post #2
Grupa: Zarejestrowani Postów: 411 Pomógł: 35 Dołączył: 27.06.2004 Skąd: Kraków Ostrzeżenie: (0%)	Hej! [PHP] pobierz, plaintext $zapytanie .= " " . $name . " = '$" . $pole . "' AND"; [PHP] pobierz, plaintext zamień na: [PHP] pobierz, plaintext $zapytanie .= " " . $name . " = '" . $$pole . "' AND"; [PHP] pobierz, plaintext Poczytaj o zmiennych zmiennych. A tak na marginesie, Twoje rozwiązanie jest wyjątkowo dziurawe i pozwala atakującemu na wykonanie praktycznie dowolnego zapytania SQL. Jak już musisz coś takiego robić to filtruj zawartość zmiennej $pole, -------------------- Absurd, pierogi i wtorki.

Simek Zobacz profil	6.02.2010, 23:23:33 Post #3
Grupa: Zarejestrowani Postów: 2 Pomógł: 0 Dołączył: 6.02.2010 Ostrzeżenie: (0%)	Oczywiście że mogę tam zastosować dynamiczne zmienne, nie tak "plain text" jak zrobiłem, ale to nie rozwiązuje problemu. Co do zabezpieczeń, spokojnie, wiem że nie ma jakiegokolwiek filtrowania danych, ale po pierwsze póki co chciałem się skupić na działaniu kodu, zabezpieczenia dojdą za czasem, jak wszystko zacznie już działać w pełni poprawnie, po drugie formularz składa się z samych ?SELECTów?, więc aby wstrzyknąć kod wymagana już jest ingerencja za pomocą FireBuga lub podobnego narzędzia, więc połowa scripts-kiddes odpada w przedbiegach. EDIT: Uporałem się z problemem, temat do zamknięcia. Ten post edytował Simek 6.02.2010, 23:40:32

« Następny starszy · PHP · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 02:38

Hosting zapewnia

Forum PHP.pl