[PHP][MYSQL] Zmiennie w zapytaniu SQL

[PHP][MYSQL] Zmiennie w zapytaniu SQL

--mobo--	8.06.2008, 13:12:29 Post #1
Goście	Oto fragment kodu z mojego scryptu [PHP] pobierz, plaintext <?php if (!empty($_POST['wiadomosc']) && !empty($_POST['user_login']) ) { $login=$_POST['user_login']; $wiad=$_POST['wiadomosc']; $pytanie = "INSERT INTO `users` ( user_id , user_login , wiadomosc ) VALUES (NULL , '$login', '$wiad')"; ?> [PHP] pobierz, plaintext I mój problem polegał na tym że jak chciałem bezpośrednio w zapytanie sql wstawić te dwie zmienne z $_POST to ciągle wywalało mi jakieś błędy składni a gdy utworzyłem sobie najpierw te dwie zmienne pomocnicze $login i $wiad to za ich pomocą już bez problemu wpisuje w SQL. I moje pytanie brzmi jak powinna wyglądać prawidłowa składnia jakbym chciał wstawić bezpośrednio te zmienne $_POST bez zmiennych pomocniczych. Pozdrawiam

webdice Zobacz profil	8.06.2008, 13:16:48 Post #2
Developer Grupa: Moderatorzy Postów: 3 045 Pomógł: 290 Dołączył: 20.01.2007	[PHP] pobierz, plaintext <?php $sql = "INSERT INTO `table` VALIES ('" . $POST['name'] . "')"; ?> [PHP] pobierz, plaintext Tylko licz się z tym ze jest to dość niebezpieczne, nie filtrujesz danych zapisywanych do bazy.

Shili Zobacz profil	8.06.2008, 13:17:03 Post #3
Grupa: Zarejestrowani Postów: 1 085 Pomógł: 231 Dołączył: 12.05.2008 Ostrzeżenie: (0%)	Niech Cię ręka boska broni przed wstawianiem otrzymanych zmiennych bezpośrednio do zapytania! Poszukaj sobie o sql injection - trochę nie to co chciałeś co prawda, ale się przyda. Nie wiem jak dla innych, dla mnie jest dużo lepiej, jeśli zmienne wyrzucam poza string. [PHP] pobierz, plaintext <?php $pytanie = "INSERT INTO `users` ( user_id , user_login , wiadomosc ) VALUES (NULL , ".$_POST['user_login'].", ".$_POST['wiadomosc'].")"; ?> [PHP] pobierz, plaintext Ale jak już pisałam - to coś jest podatne na ataki - osoba która się zna może usunąć Ci całą bazę danych! @edit Kurcze, znowu spóźniona (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Ten post edytował Shili 8.06.2008, 13:17:45

kallosz Zobacz profil	8.06.2008, 13:17:27 Post #4
Grupa: Zarejestrowani Postów: 272 Pomógł: 19 Dołączył: 29.07.2006 Ostrzeżenie: (10%)	[PHP] pobierz, plaintext <?php $pytanie = "INSERT INTO `users` (user_login, wiadomosc) VALUES ('{$login}', '{$wiad}');"; ?> [PHP] pobierz, plaintext albo [PHP] pobierz, plaintext <?php $pytanie = "INSERT INTO `users` (user_login, wiadomosc) VALUES ('".$login."', '".$wiad."');"; ?> [PHP] pobierz, plaintext

Maxik Zobacz profil	8.06.2008, 13:18:23 Post #5
Grupa: Zarejestrowani Postów: 726 Pomógł: 129 Dołączył: 10.01.2008 Skąd: Gdańsk Ostrzeżenie: (0%)	Chyba, że na serwerze jest włączone gpc_magic_quotes (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Shili Zobacz profil	8.06.2008, 13:19:08 Post #6
Grupa: Zarejestrowani Postów: 1 085 Pomógł: 231 Dołączył: 12.05.2008 Ostrzeżenie: (0%)	@up Właśnie niekoniecznie ^^ I przy magic quotes i addslashes też można narobić sporo zamieszania (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Maxik Zobacz profil	8.06.2008, 13:29:18 Post #7
Grupa: Zarejestrowani Postów: 726 Pomógł: 129 Dołączył: 10.01.2008 Skąd: Gdańsk Ostrzeżenie: (0%)	Ciekawe jak skoro wszystkie przekazane zmienne są filtrowane i żadnego SQL nie da się wykonać. Jeśli znasz jakiś sposób to opisz mi to na PW :]

-mobo- Zobacz profil	8.06.2008, 13:33:15 Post #8
Grupa: Zarejestrowani Postów: 3 Pomógł: 0 Dołączył: 8.06.2008 Ostrzeżenie: (0%)	Dzieki za pomoc (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Już sie nawet zarejestrowałem bo widzę że forum jest bardzo wartościowe.

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Aktualny czas: 22.08.2025 - 21:17

Hosting zapewnia

Forum PHP.pl