Forum PHP.pl

robie strone php opartą o baze danych sql i teraz chciałbym zrobić wyszukiwarke na tą strone. Tabele mam takie jak monitory, aparaty, komputery a struktura tabeli wyglada tak | id | zdjece | model | producent | opis | cena | grupa | i teraz chiałbym zeby wyszukiwał według opisu producenta modelu grupy wyszukiwała słowa i zwracała daną tabelke jako wynik

mam coś takiego np.:

[PHP] pobierz, plaintext 
<? 
$szukaj = $_POST['szukaj'];
 
$connection = mysql_connect("localhost","login","haslo")
or die ("Nie można połączyć się z serwerem");
 
mysql_query("SET CHARACTER SET utf8");
mysql_query("SET collation_connection = utf8_general_ci");
 
$db = mysql_select_db("sklep", $connection)
or die ("Nie można wybrać bazy danych");
 
$zapytanie = "SELECT * FROM monitory, drukarki, where monitory.producent like '$szukaj' or drukarki.producent like '$szukaj'"; 
$result = mysql_query($zapytanie)
or die("Wykonanie zapytania nie powiodło się: ".mysql_error());
 
while ($row = mysql_fetch_array($result))
{
if ($row['ilosc'] > 10) $ilosc='10'; else $ilosc=$row['ilosc'];
echo "<table><tr><td rowspan='3'>", $row['id'], "</td><td rowspan='3'><img src='strony/images/min/", $row['zdjecie'], "' width='80' height='60'></td><td><a class='a' href='index.php?show=tabela/model&model=", $row[id], "&tabela=", $tabela, "'>", $row['model'], "</a></td><td rowspan='3' align='center' valign='middle'><table><tr><td class='red'>", 
"<img src='strony/images/ilosc/", $ilosc, ".bmp'></td><td width='90' height='35' nowrap='nowrap' class='kolor4' align='center'>", $row['brutto'], "<br>z VAT</td></tr></table></td></tr>";
echo "<tr><td class='kolor3'>", $row['opis'], "</td></tr></table>";
}
mysql_close($connection);
?>
[PHP] pobierz, plaintext 

i jak wyszukam słowo drukarki nic nie znajduje pusta strona albo wpisze hp wyskaują drukarki a jak pisze samsung to też wyskakują mi drukarki a jak pisze monitory to lipa znowu nic nie wyświetla;/

ciekaw jestem co to za strona bo chyba ci nie zalezy naj je bezpieczenstwie ;/

a moge wedzeić czemu?

oczywiście możesz miec wlaczone magic_quotes, jednak powinno się zapewnić przenośność skryptu...

czyli mozna jasniej czemu mało bezpieczny?

http://forum.php.pl/index.php?showtopic=23...l=SQL+Injection

No jasniej niz tak chyba nie mozna nie filtrujesz danych przychodzacych od user'a (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) jestem pewny ze XSS tez dziala (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

marcio, w tym przypadku jest pokazane w kodzie wyświetlanie wyników i nie ma tutaj wyświetlania zmiennej $szukaj, więc XSS'a nie ma, chyba ze w daleszej części skryptu jest ona wyświetlana, nie zmienia to jednak faktu istnienia SQL Injection